Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Botnet Masjesu

Botnet Masjesu

Por Mezo en Redes de bots
Traducir a:

Analistas de ciberseguridad han descubierto una botnet altamente encubierta diseñada específicamente para ataques de denegación de servicio distribuido (DDoS). Conocida como Masjesu, esta operación ha estado circulando desde 2023 como un servicio de DDoS por encargo, promocionado principalmente a través de canales de Telegram.

En lugar de buscar infecciones masivas, la botnet adopta un enfoque prudente y calculado. Su diseño prioriza la persistencia y el sigilo, evitando deliberadamente objetivos de alto perfil como las redes asociadas al Departamento de Defensa. Esta estrategia reduce significativamente la probabilidad de detección y desmantelamiento, lo que permite que la operación se mantenga activa en el tiempo.

Identidad dual y operaciones cifradas

Masjesu también es conocido como XorBot, nombre que deriva de su uso de técnicas de cifrado basadas en XOR. Estos métodos se aplican para ocultar cadenas de texto, datos de configuración y cargas útiles, lo que dificulta los esfuerzos de análisis y detección.

La botnet se documentó por primera vez en diciembre de 2023 y se vinculó a un operador conocido como 'synmaestro'. Desde su primera aparición, demostró un claro enfoque en mantener una baja visibilidad al tiempo que permitía un control remoto eficiente de los sistemas comprometidos.

Ampliación de las capacidades de arsenal y explotación

Una versión más reciente de la botnet, detectada aproximadamente un año después, introdujo mejoras significativas. Incorporó múltiples vulnerabilidades de inyección de comandos y ejecución remota de código dirigidas a una amplia gama de dispositivos del Internet de las Cosas, incluidos routers, cámaras, DVR y NVR de varios fabricantes importantes.

Estas actualizaciones también incluyeron módulos específicos para ejecutar ataques DDoS de inundación de alto volumen, reforzando su papel como servicio de ataque comercial.

Entre sus principales capacidades se incluyen:

  • Explotación de vulnerabilidades en diversas arquitecturas de hardware de IoT.
  • Integración de 12 vectores de ataque distintos para el acceso inicial.
  • Despliegue de módulos especializados para operaciones DDoS volumétricas

Mecanismos de flujo de trabajo y persistencia de la infección

Una vez que un dispositivo se ve comprometido, el malware inicia una cadena de ejecución estructurada diseñada para mantener el control y evitar interferencias. Establece un socket vinculado a un puerto TCP predefinido (55988), lo que permite la comunicación directa con el atacante. Si este paso falla, el proceso de infección finaliza inmediatamente.

Si tiene éxito, el malware emplea técnicas de persistencia, suprimiendo las señales de terminación y deshabilitando utilidades comunes como wget y curl, probablemente para eliminar otros programas maliciosos. A continuación, se conecta a un servidor externo de comando y control para recibir instrucciones y lanzar ataques contra los objetivos designados.

Autopropagación y segmentación estratégica

Masjesu cuenta con la capacidad de autopropagación, lo que le permite escanear direcciones IP aleatorias en busca de sistemas vulnerables. Una vez identificados, estos dispositivos se incorporan a la infraestructura de la botnet, ampliando así su capacidad operativa.

Una táctica destacada consiste en escanear el puerto 52869, asociado al servicio miniigd del SDK de Realtek, un método que ya han utilizado otras botnets como JenX y Satori.

La distribución geográfica del tráfico de ataques muestra concentración en:

  • Vietnam (aproximadamente el 50% de la actividad observada)
  • Ucrania, Irán, Brasil, Kenia e India

A pesar de su agresiva expansión, la red de bots evita atacar a organizaciones críticas o sensibles. Esta moderación deliberada reduce la exposición legal y mejora su capacidad de supervivencia a largo plazo.

Estrategia de comercialización y crecimiento

Masjesu continúa evolucionando como un servicio estructurado de ciberdelincuencia. Sus operadores promocionan activamente sus capacidades a través de Telegram, posicionándose como una solución escalable para atacar redes de distribución de contenido, infraestructura de juegos y sistemas empresariales.

Esta dependencia de las plataformas de redes sociales para la captación de personal y la publicidad ha demostrado ser eficaz, permitiendo un crecimiento constante y atrayendo a una base de clientes interesados en lanzar ataques DDoS sin conocimientos técnicos.

Una amenaza cibernética creciente y persistente

Como familia de botnets emergente, Masjesu demuestra un fuerte impulso tanto en sofisticación técnica como en expansión operativa. Su combinación de sigilo, explotación dirigida y accesibilidad comercial la convierte en una amenaza notable en el panorama actual de la ciberseguridad.

Al priorizar la persistencia sobre la visibilidad y aprovechar las técnicas de ataque en constante evolución, la botnet continúa infiltrándose y controlando entornos de IoT en todo el mundo, minimizando al mismo tiempo el riesgo de interrupción.

Tendencias

Mas Visto

Cargando...