Investigadores de ciberseguridad han levantado el telón sobre una botnet sigilosa diseñada para ataques distribuidos de denegación de servicio (DDoS).
Llamado Jesús Cristola botnet se ha anunciado a través de Telegram como un servicio de alquiler de DDoS desde que apareció por primera vez en 2023. Es capaz de apuntar a una amplia gama de dispositivos de IoT, como enrutadores y puertas de enlace, que abarcan múltiples arquitecturas.
«Construido para la persistencia y la baja visibilidad, Masjesu prefiere una ejecución cuidadosa y discreta a una infección generalizada, evitando deliberadamente rangos de IP bloqueados como los que pertenecen al Departamento de Defensa (DoD) para garantizar la supervivencia a largo plazo», dijo el investigador de seguridad de Trellix Mohideen Abdul Khader F en un informe del martes.
Vale la pena señalar que la oferta comercial también se conoce con el nombre de XorBot debido a su uso de cifrado basado en XOR para ocultar cadenas, configuraciones y datos de carga útil. Fue documentado por primera vez por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vinculándolo con un operador llamado «synmaestro».
Se descubrió que una iteración posterior de la botnet observada un año después había agregado 12 exploits diferentes de inyección de comandos y ejecución de código para apuntar a enrutadores, cámaras, DVR y NVR de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron, y obtener acceso inicial. También se agregaron nuevos módulos para realizar ataques de inundación DDoS.
«Como familia de botnets emergente, XorBot está mostrando un fuerte impulso de crecimiento, infiltrándose y controlando continuamente nuevos dispositivos de IoT», dijo NSFOCUS en noviembre de 2024. «En particular, estos controladores están cada vez más inclinados a utilizar plataformas de redes sociales como Telegram como canales principales para el reclutamiento y la promoción, atrayendo ‘clientes’ objetivo a través de actividades promocionales activas iniciales, sentando una base sólida para la posterior expansión y desarrollo de la botnet».
Los últimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de llevar a cabo ataques DDoS volumétricos, enfatizando su diversa infraestructura de botnet y su idoneidad para apuntar a redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques organizados por la botnet se originan principalmente en Vietnam, Ucrania, Irán, Brasil, Kenia e India, y Vietnam representa casi el 50% del tráfico observado.
Una vez implementado en un dispositivo comprometido, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir que el atacante se conecte directamente. Si esta operación falla, la cadena de ataque se elimina inmediatamente.
De lo contrario, el malware procede a configurar la persistencia, ignorar las señales relacionadas con la terminación, detener procesos comúnmente utilizados como wget y curl, posiblemente para interrumpir las botnets competidoras, y luego se conecta a un servidor externo para recibir comandos de ataque DDoS para ejecutarlos contra objetivos de interés.
Masjesu también se jacta de capacidades de autopropagación, lo que le permite sondear direcciones IP aleatorias en busca de puertos abiertos e integrar con éxito los dispositivos comprometidos en su infraestructura. Una adición notable a la lista de objetivos de explotación son los enrutadores Realtek, que se lleva a cabo mediante la búsqueda de 52869, un puerto asociado con el demonio miniigd de Realtek SDK. Múltiples botnets DDoS, como JenX y Satori, han adoptado el mismo enfoque en el pasado.
«La botnet continúa expandiéndose al infectar una amplia gama de dispositivos IoT en múltiples arquitecturas y fabricantes», dijo Trellix. «En particular, Masjesu parece evitar apuntar a organizaciones críticas sensibles que podrían generar una atención legal o policial significativa, una estrategia que probablemente mejora su capacidad de supervivencia a largo plazo».