**Hunt.io** a découvert la botnet après avoir trouvé un répertoire exposé sur un serveur hébergé aux Pays-Bas (adresse IP 176.65.139[.]44) qui ne nécessitait aucune authentification. ### Capacités DDoS Le malware **xlabs_v1** dispose d'un arsenal impressionnant de "21 variantes de flood sur les protocoles TCP, UDP et raw, y compris RakNet et UDP façon OpenVPN", selon Hunt.io. Ces techniques sont conçues pour contourner les mesures de protection DDoS courantes, le rendant particulièrement efficace contre les serveurs de jeux et les hôtes **Minecraft**. ### Ciblage des Appareils Android via ADB Une caractéristique clé de **xlabs_v1** est son orientation vers les appareils Android avec des services ADB exposés sur le port TCP 5555. Cela signifie que les appareils tels que les boîtiers Android TV, les décodeurs et les téléviseurs intelligents sur lesquels ADB est activé par défaut sont vulnérables. Le malware inclut une APK Android ("boot.apk") et prend en charge diverses architectures (ARM, MIPS, x86-64 et ARC), indiquant sa capacité à cibler également les routeurs résidentiels et les appareils IoT. ### Opération DDoS-for-Hire La botnet est conçue pour recevoir des commandes d'attaque depuis un panneau de contrôle (xlabslover[.]lol) et générer un flux de trafic malveillant. Hunt.io note que le bot est lié statiquement en ARMv7, s'exécute sur des firmwares Android dépouillés et est livré via des scripts ADB-shell dans /data/local/tmp. ### Tarification par Bande Passante et Prix Des preuves suggèrent que le service DDoS-for-hire utilise une tarification basée sur la bande passante. La botnet inclut une routine de profilage de bande passante qui collecte les données de bande passante et de géolocalisation des victimes. Elle ouvre 8 192 sockets TCP parallèles vers le serveur Speedtest le plus proche, les sature pendant 10 secondes et rapporte le débit de transfert de données au panneau. Ces informations sont ensuite utilisées pour attribuer à chaque appareil compromis un niveau de prix pour les clients. ### Absence de Persistance Fait intéressant, la botnet manque de mécanismes de persistance. Elle ne s'écrit pas sur le disque, ne modifie pas les scripts d'initialisation, ne crée pas d'unités systemd, ni n'enregistre de tâches cron. Cela suggère que l'opérateur considère le sondage de bande passante comme une opération de mise à jour de flotte peu fréquente, nécessitant une réinfection via le canal d'exploitation ADB. ### Élimination des Concurrents **xlabs_v1** inclut également un sous-système "killer" conçu pour terminer les botnets concurrentes, lui permettant de monopoliser la bande passante montante de la victime pour ses propres attaques DDoS. L'acteur de la menace derrière le malware est connu sous le nom de "Tadashi", basé sur une chaîne cryptée trouvée dans chaque build du bot. ### Lien Potentiel avec le Minage de Monero Une analyse plus approfondie de l'infrastructure a révélé une trousse de minage de Monero **VLTRig** sur un hôte colocalisé (176.65.139[.]42), bien qu'il ne soit pas clair si le même acteur est responsable des deux activités. ### Niveau de Menace Hunt.io évalue **xlabs_v1** comme une menace de niveau intermédiaire, plus sophistiquée que les forks **Mirai** de base mais moins avancée que les opérations DDoS-for-hire de premier plan. L'opérateur se concentre sur des prix compétitifs et une variété d'attaques, ciblant les appareils IoT grand public, les routeurs résidentiels et les petits opérateurs de serveurs de jeux. ### Attaque sur un Honeypot Jenkins Dans l'actualité connexe, **Darktrace** a rapporté qu'une instance **Jenkins** mal configurée dans son réseau de honeypot a été ciblée par des acteurs inconnus qui ont déployé une botnet DDoS téléchargée depuis un serveur distant (103.177.110[.]202), tout en tentant d'échapper à la détection. Cet incident souligne la menace persistante pour l'industrie du jeu et l'importance de mettre en œuvre des mesures d'atténuation appropriées.