Pesquisadores de cibersegurança expuseram uma botnet discreta projetada para ataques de negação de serviço distribuída (DDoS). # Botnet Masjesu Surge como Serviço de DDoS-for-Hire Apelidada de **Masjesu**, esta botnet tem sido anunciada como um serviço de DDoS-for-hire no Telegram desde seu surgimento em 2023. Ela é projetada para comprometer uma gama diversificada de dispositivos IoT, incluindo roteadores e gateways, em várias arquiteturas.  De acordo com Mohideen Abdul Khader F, um pesquisador de segurança na **Trellix**, "Construída para persistência e baixa visibilidade, a Masjesu prefere execução cuidadosa e discreta em vez de infecção generalizada, evitando deliberadamente faixas de IP bloqueadas, como as pertencentes ao Departamento de Defesa (**DoD**), para garantir a sobrevivência a longo prazo." # Conexão e Evolução do XorBot A oferta comercial também é conhecida como XorBot devido ao seu uso de criptografia baseada em XOR para ofuscar strings, configurações e dados de payload. A **NSFOCUS** a documentou inicialmente em dezembro de 2023, atribuindo-a a um operador chamado "synmaestro". Uma iteração posterior da botnet adicionou 12 exploits de injeção de comando e execução de código, visando roteadores, câmeras, DVRs e NVRs de fornecedores como **D-Link**, **Eir**, **GPON**, **Huawei**, **Intelbras**, **MVPower**, **NETGEAR**, **TP-Link** e **Vacron**. Esses exploits são usados para acesso inicial, juntamente com novos módulos para realizar ataques de inundação DDoS. A **NSFOCUS** observou em novembro de 2024 que "Como uma família emergente de botnets, o XorBot está mostrando um forte ímpeto de crescimento, infiltrando e controlando continuamente novos dispositivos IoT… esses controladores estão cada vez mais inclinados a usar plataformas de mídia social como o Telegram como os principais canais para recrutamento e promoção."  # Origens dos Ataques e Comportamento do Malware A pesquisa da Trellix indica que a Masjesu comercializa sua capacidade de lançar ataques DDoS volumétricos, enfatizando sua infraestrutura de botnet diversificada para atingir redes de entrega de conteúdo (CDNs), servidores de jogos e empresas. A maioria dos ataques se origina do Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia, com o Vietnã respondendo por aproximadamente 50% do tráfego observado. Uma vez implantado, o malware cria e vincula um socket com uma porta TCP codificada (55988) para permitir conexões diretas do atacante. A falha desta operação encerra a cadeia de ataque. A implantação bem-sucedida envolve o estabelecimento de persistência, ignorando sinais de término e parando processos como `wget` e `curl`, potencialmente para interromper botnets concorrentes. O malware então se conecta a um servidor externo para receber comandos de ataque DDoS. # Autopropagação e Exploração de Roteadores Realtek A Masjesu possui capacidades de autopropagação, sondando endereços IP aleatórios em busca de portas abertas para expandir sua infraestrutura. Um alvo notável são os roteadores **Realtek**, explorados escaneando a porta 52869, associada ao daemon `miniigd` do Realtek SDK. Botnets como **JenX** e **Satori** usaram abordagens semelhantes anteriormente. A Trellix conclui: "A botnet continua a se expandir infectando uma ampla gama de dispositivos IoT em múltiplas arquiteturas e fabricantes… A Masjesu parece evitar o direcionamento a organizações críticas sensíveis que poderiam gerar atenção legal ou de aplicação da lei significativa, uma estratégia que provavelmente melhora sua capacidade de sobrevivência a longo prazo."