Wed, 08 Apr 2026
← VoltarMasjesu é um botnet furtivo projetado para ataques DDoS persistentes em dispositivos IoT. Ele opera secretamente, evitando detecção e alvos de alto perfil.
Pesquisadores de segurança cibernética levantaram a cortina sobre uma botnet furtiva projetada para ataques distribuídos de negação de serviço (DDoS). Chamado Masjesu, o botnet tem sido anunciado via Telegram como um serviço de aluguel de DDoS desde que surgiu pela primeira vez em 2023. É capaz de atingir uma ampla gama de dispositivos IoT, como roteadores e gateways, abrangendo várias arquiteturas. “Construído para persistência e baixa visibilidade, Masjesu favorece a execução cuidadosa e discreta em vez de infecções generalizadas, evitando deliberadamente intervalos de IP em listas de bloqueio, como aqueles pertencentes ao Departamento de Defesa (DoD), para garantir a sobrevivência a longo prazo”, disse o pesquisador de segurança da Trellix, Mohideen Abdul Khader F, em um relatório de terça-feira.
É importante notar que a oferta comercial também atende pelo apelido de XorBot devido ao uso de criptografia baseada em XOR para ocultar strings, configurações e dados de carga útil. Foi documentado pela primeira vez pelo fornecedor de segurança chinês NSFOCUS em dezembro de 2023, vinculando-o a uma operadora chamada “synmaestro”. Descobriu-se que uma iteração subsequente da botnet observada um ano depois adicionou 12 explorações diferentes de injeção de comando e execução de código para direcionar roteadores, câmeras, DVRs e NVRs da D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron, e obter acesso inicial. Também foram adicionados novos módulos para conduzir ataques de inundação DDoS.
"Como uma família emergente de botnets, o XorBot está mostrando um forte impulso de crescimento, infiltrando-se e controlando continuamente novos dispositivos IoT", disse NSFOCUS em novembro de 2024. "Notavelmente, esses controladores estão cada vez mais inclinados a usar plataformas de mídia social como o Telegram como os principais canais de recrutamento e promoção, atraindo 'clientes' alvo por meio de atividades promocionais ativas iniciais, estabelecendo uma base sólida para a subsequente expansão e desenvolvimento do botnet." As últimas descobertas da Trellix mostram que Masjesu comercializou a capacidade de realizar ataques DDoS volumétricos, enfatizando sua infraestrutura diversificada de botnets e sua adequação para atingir redes de entrega de conteúdo (CDNs), servidores de jogos e empresas. Os ataques organizados pela botnet têm origem principalmente no Vietname, Ucrânia, Irão, Brasil, Quénia e Índia, sendo o Vietname responsável por quase 50% do tráfego observado. Uma vez implantado em um dispositivo comprometido, o malware se move para criar e vincular um soquete com uma porta TCP codificada (55988) para permitir que o invasor se conecte diretamente.
Se esta operação falhar, a cadeia de ataque será imediatamente eliminada. Caso contrário, o malware configura a persistência, ignora os sinais relacionados ao encerramento, interrompe processos comumente usados, como wget e curl, possivelmente para interromper botnets concorrentes e, em seguida, conecta-se a um servidor externo para receber comandos de ataque DDoS para executá-los contra alvos de interesse. Masjesu também se orgulha de recursos de autopropagação, permitindo sondar endereços IP aleatórios em busca de portas abertas e inserir dispositivos comprometidos com sucesso em sua infraestrutura. Uma adição notável à lista de alvos de exploração são os roteadores Realtek, que são realizados por meio da varredura de 52869 – uma porta associada ao daemon miniigd do Realtek SDK.
Vários botnets DDoS, como JenX e Satori, adotaram a mesma abordagem no passado. “A botnet continua a se expandir, infectando uma ampla gama de dispositivos IoT em diversas arquiteturas e fabricantes”, disse Trellix. “Notavelmente, Masjesu parece evitar atingir organizações críticas sensíveis que possam desencadear atenção significativa legal ou policial, uma estratégia que provavelmente melhora a sua capacidade de sobrevivência a longo prazo”.