A **Hunt.io** descobriu a botnet após encontrar um diretório exposto em um servidor hospedado na Holanda (endereço IP 176.65.139[.]44) que não exigia autenticação. ### Capacidades de DDoS O malware **xlabs_v1** possui um impressionante arsenal de "21 variantes de flood em protocolos TCP, UDP e raw, incluindo RakNet e UDP no formato OpenVPN", de acordo com a Hunt.io. Essas técnicas são projetadas para contornar medidas comuns de proteção contra DDoS, tornando-o particularmente eficaz contra servidores de jogos e hosts de **Minecraft**. ### Visando Dispositivos Android via ADB Uma característica chave do **xlabs_v1** é seu foco em dispositivos Android com serviços ADB expostos na porta TCP 5555. Isso significa que dispositivos como Android TV boxes, set-top boxes e smart TVs que têm ADB habilitado por padrão são vulneráveis. O malware inclui um APK Android ("boot.apk") e suporta várias arquiteturas (ARM, MIPS, x86-64 e ARC), indicando sua capacidade de atingir roteadores residenciais e dispositivos IoT também. ### Operação de DDoS-for-Hire A botnet é projetada para receber comandos de ataque de um painel de controle (xlabslover[.]lol) e gerar um fluxo de tráfego malicioso. A Hunt.io observa que o bot é ARMv7 com link estático, roda em firmwares Android 'stripped' e é entregue através de 'ADB-shell pastes' para /data/local/tmp. ### Segmentação de Largura de Banda e Preços Evidências sugerem que o serviço de DDoS-for-hire utiliza preços segmentados por largura de banda. A botnet inclui uma rotina de perfil de largura de banda que coleta dados de largura de banda e geolocalização da vítima. Ela abre 8.192 sockets TCP paralelos para o servidor Speedtest mais próximo, os satura por 10 segundos e reporta a taxa de transferência de dados de volta para o painel. Essas informações são então usadas para atribuir cada dispositivo comprometido a um nível de preço para os clientes. ### Falta de Persistência Interessantemente, a botnet carece de mecanismos de persistência. Ela não se escreve no disco, modifica scripts de inicialização, cria unidades systemd ou registra cron jobs. Isso sugere que o operador vê a sondagem de largura de banda como uma operação infrequente de atualização de nível de frota, exigindo reinfeção através do canal de exploração ADB. ### Eliminação de Concorrentes O **xlabs_v1** também inclui um subsistema "killer" projetado para encerrar botnets concorrentes, permitindo-lhe monopolizar a largura de banda de upstream da vítima para seus próprios ataques DDoS. O ator de ameaça por trás do malware é conhecido como "Tadashi", com base em uma string criptografada encontrada em cada build do bot. ### Potencial Ligação à Mineração de Monero Análises adicionais da infraestrutura revelaram um kit de ferramentas de mineração de Monero **VLTRig** em um host co-localizado (176.65.139[.]42), embora não esteja claro se o mesmo ator é responsável por ambas as atividades. ### Nível de Ameaça A Hunt.io avalia o **xlabs_v1** como uma ameaça de nível médio, mais sofisticada do que forks básicos de **Mirai**, mas menos avançada do que operações de DDoS-for-hire de ponta. O operador foca em preços competitivos e variedade de ataques, visando dispositivos IoT de consumo, roteadores residenciais e operadores de pequenos servidores de jogos. ### Ataque a Honeypot Jenkins Em notícias relacionadas, a **Darktrace** relatou que uma instância **Jenkins** mal configurada em sua rede de honeypot foi alvo de atores desconhecidos que implantaram uma botnet DDoS baixada de um servidor remoto (103.177.110[.]202), enquanto tentavam evadir a detecção. Este incidente ressalta a ameaça contínua à indústria de jogos e a importância de implementar mitigações apropriadas.