Trellix安全研究员Mohideen Abdul Khader在报告中指出,这个名为Masjesu的僵尸网络从2023年起就低调现身。它用XOR加密隐藏字符串和配置,也叫XorBot。NSFOCUS在2023年12月首次记录它,关联到操作者"synmaestro"。一年后,这个网络新增12种命令注入和代码执行漏洞,利用D-Link、Eir、GPON、Huawei、Intelbras、MVPower、NETGEAR、TP-Link和Vacron的路由器、摄像头、DVR及NVR获取入口。越南攻击流量占观察总量的近50%。它避开国防部IP范围,确保长期存活。推广时强调体积DDoS攻击,适合打CDN、游戏服务器和企业目标。
感染后,恶意软件创建TCP端口55988的套接字。失败就自毁。成功则设置持久化,忽略终止信号,杀掉wget和curl进程,阻断对手僵尸网。然后连外服务器,执行DDoS命令。它自带传播模块,扫描随机IP开放端口,拉新设备入网。新目标包括Realtek路由器,通过52869端口攻miniigd守护进程。JenX和Satori等老僵尸网也用过这招。Trellix观察到,它跨多架构、多厂商IoT设备扩张。攻击源还来自乌克兰、伊朗、巴西、肯尼亚和印度。
NSFOCUS在2024年11月报告,这个新兴家族增长迅猛,用Telegram招募客户。先活跃推广,拉人下单。控制器偏好社交平台,铺路扩张。Trellix强调,Masjesu不碰敏感关键组织,避免执法注意。这策略提升生存率。IoT设备成重灾区,路由器网关首当其冲。运营商推销多样化机器人基础设施,卷土重来。全球用户得警惕,端口开放就成靶子。