**Hunt.io** descubrió la botnet tras encontrar un directorio expuesto en un servidor alojado en los Países Bajos (dirección IP 176.65.139[.]44) que no requería autenticación. ### Capacidades DDoS El malware **xlabs_v1** cuenta con un impresionante arsenal de "21 variantes de inundación a través de protocolos TCP, UDP y raw, incluyendo RakNet y UDP con forma de OpenVPN", según Hunt.io. Estas técnicas están diseñadas para eludir las medidas comunes de protección contra DDoS, lo que lo hace particularmente efectivo contra servidores de juegos y hosts de **Minecraft**. ### Ataque a dispositivos Android vía ADB Una característica clave de **xlabs_v1** es su enfoque en dispositivos Android con servicios ADB expuestos en el puerto TCP 5555. Esto significa que dispositivos como cajas Android TV, decodificadores y televisores inteligentes que tienen ADB habilitado por defecto son vulnerables. El malware incluye un APK de Android ("boot.apk") y soporta varias arquitecturas (ARM, MIPS, x86-64 y ARC), lo que indica su capacidad para atacar también routers residenciales y dispositivos IoT. ### Operación de DDoS por encargo La botnet está diseñada para recibir comandos de ataque desde un panel de control (xlabslover[.]lol) y generar una avalancha de tráfico malicioso. Hunt.io señala que el bot está enlazado estáticamente ARMv7, se ejecuta en firmwares Android depurados y se entrega a través de pegados de ADB-shell en /data/local/tmp. ### Niveles de ancho de banda y precios La evidencia sugiere que el servicio de DDoS por encargo utiliza precios escalonados por ancho de banda. La botnet incluye una rutina de perfilado de ancho de banda que recopila datos de ancho de banda y geolocalización de las víctimas. Abre 8.192 sockets TCP paralelos al servidor Speedtest más cercano, los satura durante 10 segundos e informa la tasa de transferencia de datos al panel. Esta información se utiliza luego para asignar cada dispositivo comprometido a un nivel de precios para los clientes. ### Falta de persistencia Curiosamente, la botnet carece de mecanismos de persistencia. No se escribe en disco, no modifica scripts de inicio, no crea unidades systemd ni registra trabajos cron. Esto sugiere que el operador considera la sondeo de ancho de banda como una operación infrecuente de actualización de nivel de flota, que requiere reinfección a través del canal de explotación de ADB. ### Eliminación de competidores **xlabs_v1** también incluye un subsistema "killer" diseñado para terminar botnets competidoras, permitiéndole monopolizar el ancho de banda de subida de la víctima para sus propios ataques DDoS. El actor de amenazas detrás del malware se conoce como "Tadashi", basándose en una cadena cifrada encontrada en cada compilación del bot. ### Posible vínculo con la minería de Monero Un análisis adicional de la infraestructura reveló un kit de herramientas de minería de Monero **VLTRig** en un host colocalizado (176.65.139[.]42), aunque no está claro si el mismo actor es responsable de ambas actividades. ### Nivel de amenaza Hunt.io evalúa **xlabs_v1** como una amenaza de nivel medio, más sofisticada que las bifurcaciones básicas de **Mirai** pero menos avanzada que las operaciones de DDoS por encargo de primer nivel. El operador se enfoca en precios competitivos y variedad de ataques, apuntando a dispositivos IoT de consumo, routers residenciales y operadores de servidores de juegos pequeños. ### Ataque a honeypot de Jenkins En noticias relacionadas, **Darktrace** informó que una instancia de **Jenkins** mal configurada en su red de honeypot fue atacada por actores desconocidos que desplegaron una botnet DDoS descargada de un servidor remoto (103.177.110[.]202), mientras intentaban evadir la detección. Este incidente subraya la amenaza continua para la industria de los juegos y la importancia de implementar mitigaciones apropiadas.