Compraron una cámara de seguridad y terminó lanzando un ataque DDoS contra el Pentágono: la ironía de la era del Internet de las Cosas.
Tu hogar inteligente, a merced de manos ajenas
Las botnets para ataques DDoS dejaron de ser algo raro hace tiempo, pero Masjesu eligió otro camino. El malware no intenta infectar todo a la vista. Actúa de forma silenciosa, sin prisas y sin alharacas, y durante varios años se ha vendido en Telegram como servicio para ataques por encargo. Esa cautela, según los especialistas de Trellix, ayuda a los operadores a conservar la infraestructura por más tiempo y a expandirla casi sin ser detectados.
Trellix describe a Masjesu como una botnet dirigida a un amplio espectro de dispositivos IoT, incluidos routers y pasarelas de red en distintas arquitecturas. El malware fue detectado por primera vez en 2023. En mercados clandestinos y comunidades de Telegram, el proyecto se promocionó como un servicio para organizar ataques DDoS. Con otro nombre, XorBot, la red ya había aparecido en informes de NSFOCUS. Esa empresa china vinculó entonces la actividad con un operador bajo el seudónimo synmaestro.
Según Trellix, Masjesu apuesta no por la infección masiva sino por la resiliencia y el sigilo. El malware elude deliberadamente parte de los rangos de IP bloqueados, por ejemplo direcciones asociadas al Departamento de Defensa de EE. UU. Ese enfoque reduce el riesgo de atraer mayor atención de las autoridades y ayuda a la botnet a permanecer operativa más tiempo.
En el último año Masjesu amplió notablemente su arsenal. Las nuevas versiones incorporaron al menos 12 métodos de explotación de vulnerabilidades con inyección de comandos y ejecución remota de código. Quedan afectados routers, cámaras, DVR y NVR de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron. Más tarde se añadieron a la lista routers basados en Realtek. Para localizar dispositivos susceptibles, la botnet escanea el puerto 52869, que está asociado al daemon miniigd del SDK de Realtek. Anteriormente, JenX y Satori ya habían usado un esquema parecido.
Tras la infección, Masjesu abre el puerto TCP 55988 para la conexión directa del operador. Si ese paso falla, la cadena se interrumpe. Con un arranque exitoso, el malware se instala en el sistema, ignora señales de terminación, detiene procesos como wget y curl, probablemente para dificultar a botnets competidoras, y luego se comunica con un servidor externo para recibir órdenes de ataque.
Los autores del informe añaden que Masjesu se propaga por sí mismo, probando direcciones IP aleatorias y comprobando puertos abiertos. El principal flujo de tráfico atacante procede de Vietnam, Ucrania, Irán, Brasil, Kenia e India, y casi la mitad de la actividad observada se atribuye a Vietnam. En sus anuncios, los operadores enfatizan ataques DDoS voluminosos dirigidos a CDN, servidores de juego y sistemas corporativos.
Según Trellix, Masjesu sigue creciendo e infectando dispositivos de distintos fabricantes, pero procura no tocar objetivos sensibles para no provocar una reacción contundente. Esa táctica hace que la botnet no sea de las más ruidosas, pero sí una de las más resilientes en el mercado de ataques DDoS por encargo.