Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Botnetze Masjesu Botnet

Masjesu Botnet

Von Mezo in Botnetze
Übersetzen Sie in:

Cybersicherheitsexperten haben ein hochgradig geheimes Botnetz aufgedeckt, das speziell für DDoS-Angriffe (Distributed Denial-of-Service) entwickelt wurde. Diese unter dem Namen Masjesu bekannte Operation ist seit 2023 als DDoS-Dienstleistung aktiv und wird hauptsächlich über Telegram-Kanäle beworben.

Anstatt Masseninfektionen anzustreben, verfolgt das Botnetz einen zurückhaltenden und kalkulierten Ansatz. Sein Design setzt auf Persistenz und Tarnung und meidet bewusst hochrangige Ziele wie Netzwerke des US-Verteidigungsministeriums. Diese Strategie verringert die Wahrscheinlichkeit der Entdeckung und Zerschlagung erheblich und ermöglicht so den langfristigen Fortbestand des Botnetzes.

Doppelte Identität und verschlüsselte Operationen

Masjesu wird auch als XorBot bezeichnet, ein Name, der sich von der Verwendung von XOR-basierten Verschlüsselungstechniken ableitet. Diese Methoden werden auf verschleierte Zeichenketten, Konfigurationsdaten und Nutzdaten angewendet, was die Analyse und Erkennung erschwert.

Das Botnetz wurde erstmals im Dezember 2023 dokumentiert und mit einem Betreiber namens „synmaestro“ in Verbindung gebracht. Von Anfang an zeigte es einen klaren Fokus auf die Aufrechterhaltung geringer Sichtbarkeit bei gleichzeitiger effizienter Fernsteuerung kompromittierter Systeme.

Erweiterung des Arsenals und der Verwertungskapazitäten

Eine etwa ein Jahr später entdeckte neuere Version des Botnetzes wies signifikante Verbesserungen auf. Sie beinhaltete mehrere Command-Injection- und Remote-Code-Execution-Exploits, die auf eine breite Palette von IoT-Geräten abzielten, darunter Router, Kameras, DVRs und NVRs verschiedener führender Hersteller.

Diese Aktualisierungen umfassten auch spezielle Module zur Durchführung von DDoS-Flood-Angriffen mit hohem Datenvolumen und unterstrichen damit die Rolle des Unternehmens als kommerzieller Angriffsdienst.

Zu den wichtigsten Fähigkeiten gehören:

  • Ausnutzung von Schwachstellen in verschiedenen IoT-Hardwarearchitekturen
  • Integration von 12 verschiedenen Angriffsvektoren für den Erstzugriff
  • Einsatz spezialisierter Module für volumetrische DDoS-Operationen

Infektionsablauf und Persistenzmechanismen

Sobald ein Gerät kompromittiert ist, initiiert die Schadsoftware eine strukturierte Ausführungskette, die die Kontrolle sichert und Störungen verhindert. Sie stellt eine Verbindung zu einem fest codierten TCP-Port (55988) her und ermöglicht so die direkte Kommunikation mit dem Angreifer. Schlägt dieser Schritt fehl, wird der Infektionsprozess sofort beendet.

Bei Erfolg setzt die Schadsoftware Persistenztechniken ein, unterdrückt Beendigungssignale und deaktiviert gängige Hilfsprogramme wie wget und curl, vermutlich um konkurrierende Schadsoftware auszuschalten. Anschließend verbindet sie sich mit einem externen Command-and-Control-Server, um Anweisungen zu empfangen und Angriffe gegen festgelegte Ziele zu starten.

Selbstverbreitung und strategische Ausrichtung

Masjesu verfügt über eine Selbstverbreitungsfunktion, die es ihm ermöglicht, zufällige IP-Adressen nach anfälligen Systemen zu durchsuchen. Sobald diese Geräte identifiziert sind, werden sie in die Infrastruktur des Botnetzes integriert und erweitern so dessen operative Kapazität.

Eine bemerkenswerte Taktik besteht darin, nach Port 52869 zu suchen, der mit dem miniigd-Dienst des Realtek SDK verbunden ist – eine Methode, die zuvor bereits von anderen Botnetzen wie JenX und Satori eingesetzt wurde.

Die geografische Verteilung des Angriffsverkehrs zeigt eine Konzentration in folgenden Gebieten:

  • Vietnam (ca. 50 % der beobachteten Aktivität)
  • Ukraine, Iran, Brasilien, Kenia und Indien

Trotz seiner aggressiven Expansion vermeidet das Botnetz Angriffe auf kritische oder sensible Organisationen. Diese bewusste Zurückhaltung reduziert das rechtliche Risiko und erhöht die langfristige Überlebensfähigkeit.

Kommerzialisierungs- und Wachstumsstrategie

Masjesu entwickelt sich kontinuierlich zu einem strukturierten Cyberkriminalitätsdienst weiter. Die Betreiber bewerben ihre Fähigkeiten aktiv über Telegram und positionieren sie als skalierbare Lösung für Angriffe auf Content-Delivery-Netzwerke, Gaming-Infrastrukturen und Unternehmenssysteme.

Diese Abhängigkeit von Social-Media-Plattformen für Rekrutierung und Werbung hat sich als effektiv erwiesen und ein stetiges Wachstum ermöglicht sowie eine Kundenbasis angezogen, die daran interessiert ist, DDoS-Angriffe ohne technisches Fachwissen durchzuführen.

Eine wachsende und anhaltende Cyberbedrohung

Als aufstrebende Botnetzfamilie zeigt Masjesu sowohl in technischer Hinsicht als auch in operativer Expansion eine starke Dynamik. Die Kombination aus Heimlichkeit, gezielter Ausnutzung und kommerzieller Verfügbarkeit macht es zu einer ernstzunehmenden Bedrohung in der modernen Cybersicherheitslandschaft.

Durch die Priorisierung von Persistenz gegenüber Sichtbarkeit und die Nutzung sich ständig weiterentwickelnder Angriffstechniken dringt das Botnetz weiterhin in IoT-Umgebungen auf der ganzen Welt ein und kontrolliert diese, während gleichzeitig das Risiko von Störungen minimiert wird.

Im Trend

Am häufigsten gesehen

Wird geladen...