Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Botnet Masjesu (XorBot) in agguato: DDoS su commissione sfrutta router IoT e resta invisibile
La botnet Masjesu sta attirando una crescente attenzione nel panorama della cybersecurity per la sua natura furtiva e per il modello DDoS for hire con cui viene promossa online dal 2023. Si tratta di una rete di dispositivi IoT compromessi, come router e gateway, in grado di operare su più architetture e di lanciare attacchi DDoS volumetrici contro obiettivi diversi, dai CDN ai game server fino alle infrastrutture aziendali.
Uno degli aspetti più rilevanti è la strategia di persistenza e bassa visibilità. Masjesu privilegia un approccio controllato invece di puntare a infezioni massive, riducendo l’esposizione e aumentando la durata operativa. In questa logica evita anche range IP sensibili e notoriamente monitorati, una scelta che rende più difficile l’attribuzione e limita il rischio di interventi rapidi.
La botnet è nota anche con il nome XorBot per l’uso di cifratura basata su XOR, impiegata per offuscare stringhe, configurazioni e dati dei payload. Questo tipo di offuscamento complica l’analisi e rallenta la creazione di firme efficaci. Nel tempo la famiglia ha evoluto le proprie capacità includendo moduli per attacchi flood e una lista più ampia di vettori di compromissione, con exploit di command injection e code execution rivolti a dispositivi IoT molto diffusi, tra cui prodotti di vendor come D-Link, NETGEAR, TP-Link e altri.
Sul piano operativo, una volta installato su un dispositivo, il malware tenta di creare e collegare un socket su una porta TCP hard coded, la 55988, per consentire una connessione diretta da parte dell’attaccante. Se questa fase fallisce, la catena di attacco viene interrotta. In caso di successo, Masjesu imposta meccanismi di persistenza, ignora segnali di terminazione e può interrompere processi comuni come wget e curl, comportamento compatibile con la volontà di ostacolare botnet concorrenti. Successivamente si collega a un server esterno per ricevere comandi e avviare gli attacchi DDoS.
Masjesu include inoltre funzionalità di auto-propagazione tramite scansione di IP casuali e porte aperte. Un elemento importante è l’interesse verso router Realtek, tramite scansioni della porta 52869 associata a componenti UPnP, una tecnica già vista in altre botnet DDoS.