Malware também conhecido como XorBot mira roteadores, câmeras, DVRs e NVRs, usa persistência em dispositivos comprometidos e recebe comandos para ataques volumétricos contra CDNs, servidores de jogos e empresas.
| Componente | Botnet Masjesu, também chamada de XorBot, voltada a dispositivos IoT como roteadores, gateways, câmeras, DVRs e NVRs em múltiplas arquiteturas. |
| Vetor | Comprometimento por exploração de falhas de injeção de comandos e execução de código em equipamentos de fabricantes como D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron. |
| Impacto | Dispositivos comprometidos passam a receber comandos externos para ataques DDoS volumétricos, com uso anunciado contra CDNs, servidores de jogos e empresas. |
| Prioridade | Identificar IoT exposto, corrigir firmwares vulneráveis, restringir serviços de administração, monitorar portas incomuns e investigar sinais de persistência ou tráfego DDoS originado da rede. |
| Artefatos | O malware cria e vincula um socket em uma porta TCP codificada, 55988, e encerra a cadeia se essa etapa falhar. |
| Portas | A varredura também mira a porta 52869, associada ao daemon miniigd do Realtek SDK, já explorada por outras botnets de DDoS em campanhas anteriores. |
Masjesu é uma botnet para DDoS sob encomenda direcionada a dispositivos IoT e anunciada em canais do Telegram desde 2023. A família também aparece como XorBot por usar criptografia baseada em XOR para ocultar strings, configurações e dados de payload. O foco operacional não é apenas volume de infecção, mas permanência e baixa visibilidade em equipamentos de borda, principalmente roteadores, gateways, câmeras, DVRs e NVRs executando arquiteturas variadas.
A cadeia observada combina exploração inicial em dispositivos expostos, instalação de componente persistente, preparação de socket local, eliminação de processos comuns usados por ferramentas concorrentes e conexão com servidor externo para receber comandos de ataque. A infraestrutura foi apresentada comercialmente como adequada para ataques volumétricos contra CDNs, servidores de jogos e ambientes corporativos. O tráfego observado parte principalmente de Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia, com o Vietnã concentrando quase metade da atividade mencionada no contexto.
Depois de implantado em um dispositivo comprometido, Masjesu tenta criar e vincular um socket usando a porta TCP codificada 55988. Essa etapa funciona como pré-condição operacional: se o vínculo falhar, a cadeia é encerrada imediatamente. Quando a preparação é bem-sucedida, o malware segue para persistência, passa a ignorar sinais relacionados a término de processo e interrompe processos amplamente usados em ambientes Unix-like, como wget e curl. Esse comportamento pode reduzir a concorrência com outras botnets ou dificultar a recuperação simples por scripts que dependem dessas ferramentas.
A família também apresenta capacidade de autopropagação. O malware sonda endereços IP aleatórios em busca de portas abertas e tenta incorporar novos dispositivos ao conjunto controlado. Uma adição relevante é a busca por roteadores Realtek por meio da porta 52869, associada ao daemon miniigd do Realtek SDK. O mesmo caminho de exposição já foi explorado por botnets como JenX e Satori, o que reforça que serviços legados de administração ou UPnP em IoT continuam sendo superfície crítica quando expostos fora de redes controladas.
Em iterações posteriores, a botnet adicionou 12 explorações de injeção de comandos e execução de código contra equipamentos de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron. O contexto não traz CVEs específicos nem versões afetadas, portanto a avaliação defensiva deve se concentrar nos modelos e firmwares administrados pela organização, na exposição de portas e serviços e na presença de tráfego incompatível com o papel esperado desses dispositivos.
A superfície mais exposta é composta por dispositivos IoT com serviços administrativos acessíveis, firmwares sem correção e componentes de rede antigos que aceitam requisições capazes de acionar injeção de comandos ou execução de código. O risco aumenta quando roteadores, câmeras, DVRs, NVRs e gateways permanecem na internet com credenciais fracas, interfaces legadas, regras de encaminhamento abertas ou sem segmentação adequada. O contexto também indica atenção a múltiplas arquiteturas, o que reduz a eficácia de controles baseados apenas em uma família de CPU ou em um único tipo de firmware.
A operação evita determinados intervalos de IP sensíveis, incluindo faixas associadas ao Departamento de Defesa dos Estados Unidos, como estratégia para reduzir atrito jurídico e preservar longevidade. Essa escolha não reduz o risco para empresas, provedores, redes domésticas e ambientes de pequeno porte: ela apenas indica que a botnet tenta manter a infraestrutura ativa por mais tempo, priorizando alvos de menor probabilidade de resposta imediata por autoridades ou organizações críticas.
- Roteadores e gateways expostos com serviços administrativos ou componentes Realtek associados ao
miniigd. - Câmeras, DVRs e NVRs acessíveis pela internet e sem correção de firmware.
- Dispositivos de fabricantes citados no contexto: D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron.
- Redes brasileiras podem aparecer como origem de tráfego, já que o Brasil está entre os países observados na distribuição da atividade.
A investigação deve começar por inventário e exposição. Equipes de segurança precisam identificar dispositivos IoT com acesso externo, mapear portas abertas, confirmar versão de firmware e validar se há tráfego incompatível com a função do ativo. Como a botnet prepara socket na porta TCP 55988, conexões locais ou tentativas de escuta nessa porta em dispositivos embarcados merecem triagem. A porta 52869 também deve ser tratada como sinal de risco quando aparecer exposta em equipamentos Realtek ou derivados.
No endpoint embarcado, sinais como reinício inesperado de serviços, ausência ou interrupção anormal de wget e curl, processos desconhecidos persistentes e conexões periódicas para servidores externos podem indicar comprometimento. Em rede, a defesa deve procurar padrões de varredura para endereços aleatórios, aumento súbito de pacotes de saída, tráfego volumétrico para destinos sem relação de negócio e comportamento de DDoS partindo de equipamentos que normalmente teriam baixo volume de comunicação.
- Escuta ou tentativa de vínculo na porta TCP
55988em dispositivos IoT. - Exposição da porta
52869em roteadores Realtek ou equipamentos que usem o SDK afetado. - Tráfego de saída volumétrico para CDNs, servidores de jogos ou destinos corporativos sem relação operacional.
- Processos persistentes desconhecidos em firmware Linux embarcado e encerramento incomum de
wgetoucurl. - Varredura de endereços IP aleatórios a partir de dispositivos de borda.
A resposta deve priorizar redução de exposição e validação de integridade dos dispositivos. Equipamentos IoT acessíveis pela internet precisam ser removidos de exposição direta, colocados atrás de VPN ou controles equivalentes e segmentados em redes com política restritiva de saída. Onde houver firmware corrigido, a atualização deve ser aplicada com janela de manutenção e verificação posterior. Quando não houver atualização disponível, o dispositivo deve ser isolado, substituído ou limitado por regras de firewall que bloqueiem administração remota e tráfego de saída não necessário.
Para equipamentos suspeitos, a contenção deve incluir retirada temporária da rede, coleta de configuração, restauração a partir de imagem confiável quando possível, rotação de credenciais administrativas e revisão de regras de NAT, UPnP e encaminhamento. A simples reinicialização pode não remover persistência. Depois da limpeza, a organização deve monitorar se o ativo volta a abrir portas inesperadas, se tenta conexão com servidores externos desconhecidos ou se participa de tráfego volumétrico. Como a família é vendida como serviço de DDoS, o impacto defensivo principal é impedir que ativos próprios sejam incorporados à infraestrutura de ataque e reduzir risco de abuso reputacional, saturação de links e bloqueios por provedores.
- Inventariar roteadores, gateways, câmeras, DVRs e NVRs com exposição externa.
- Aplicar atualizações de firmware dos fabricantes citados quando houver correção disponível.
- Bloquear administração remota desnecessária e restringir portas
55988e52869conforme o perfil do ambiente. - Segmentar IoT em redes próprias com controle de saída e inspeção de tráfego anômalo.
- Restaurar ou substituir dispositivos suspeitos quando persistência não puder ser removida com confiança.
0 Comentários