Investigadores de ciberseguridad han desvelado los detalles de una botnet sigilosa diseñada para ataques de denegación de servicio distribuido (DDoS). Denominada Masjesu, la botnet ha sido promocionada a través de Telegram como un servicio de alquiler para DDoS desde su aparición en 2023. Es capaz de atacar una amplia variedad de dispositivos IoT, como routers y pasarelas, abarcando múltiples arquitecturas.
"Construida para la persistencia y la baja visibilidad, Masjesu prefiere una ejecución cuidadosa y discreta sobre la infección masiva, evitando deliberadamente rangos de IP bloqueados, como los del Departamento de Defensa de EE.UU., para asegurar su supervivencia a largo plazo", señaló el investigador de seguridad de Trellix, Mohideen Abdul Khader F, en un informe del martes.
Cabe destacar que esta oferta comercial también se conoce con el nombre de XorBot debido a su uso de cifrado basado en XOR para ocultar cadenas, configuraciones y datos de carga útil. Fue documentada por primera vez por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vinculándola a un operador llamado "synmaestro".
Una iteración posterior de la botnet, observada un año después, incorporó 12 exploits diferentes de inyección de comandos y ejecución de código para atacar routers, cámaras, DVR y NVR de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron, obteniendo acceso inicial. También se añadieron nuevos módulos para realizar ataques de inundación DDoS.
"Como una familia emergente de botnets, XorBot muestra un fuerte impulso de crecimiento, infiltrándose y controlando continuamente nuevos dispositivos IoT", afirmó NSFOCUS en noviembre de 2024. "Notablemente, estos controladores se inclinan cada vez más a usar plataformas de redes sociales como Telegram como canales principales para el reclutamiento y la promoción, atrayendo a 'clientes' objetivo mediante actividades promocionales iniciales activas, sentando una base sólida para la posterior expansión y desarrollo de la botnet".
Los últimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de realizar ataques DDD volumétricos, enfatizando su diversa infraestructura de botnets y su idoneidad para atacar redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques montados por la botnet se originan principalmente en Vietnam, Ucrania, Irán, Brasil, Kenia e India, representando Vietnam casi el 50% del tráfico observado.
Una vez desplegado en un dispositivo comprometido, el malware crea y enlaza un socket con un puerto TCP fijo (55988) para permitir la conexión directa del atacante. Si esta operación falla, la cadena de ataque se termina inmediatamente. De lo contrario, el malware establece persistencia, ignora señales relacionadas con la terminación, detiene procesos comunes como wget y curl (posiblemente para interrumpir botnets competidoras) y luego se conecta a un servidor externo para recibir comandos de ataque DDoS y ejecutarlos contra los objetivos de interés.
Masjesu también cuenta con capacidades de autopropagación, lo que le permite sondear direcciones IP aleatorias en busca de puertos abiertos e incorporar dispositivos comprometidos con éxito a su infraestructura. Una adición notable a la lista de objetivos de explotación son los routers Realtek, que se atacan escaneando el puerto 52869 asociado con el demonio miniigd del SDK de Realtek. Varias botnets DDoS, como JenX y Satori, han adoptado el mismo enfoque en el pasado.
"La botnet continúa expandiéndose infectando una amplia gama de dispositivos IoT de múltiples arquitecturas y fabricantes", dijo Trellix. "Notablemente, Masjesu parece evitar atacar organizaciones sensibles y críticas que podrían desencadenar una atención significativa de las autoridades o la ley, una estrategia que probablemente mejora su supervivencia a largo plazo".
Actualización: La botnet Masjesu ha sido atribuida con alta confianza por Breakglass Intelligence a un ciudadano turco llamado Seyit Girgin, quien "opera desde al menos dos cuentas de GitHub, múltiples canales de Telegram y una constelación de infraestructura criminal que abarca servicios de alquiler DDoS, robo de credenciales de juegos y robo de tokens de Discord con hooks de tarjetas de crédito". (La historia se actualizó después de su publicación el 14 de abril de 2026, con información adicional de Breakglass Intelligence).
