Pesquisadores da Trellix descobriram o botnet Masjesu, usado para ataques DDoS e que infecta dispositivos IoT de diversas arquiteturas e fabricantes. Ativo desde 2023, o operador anuncia seus serviços no Telegram como DDoS-as-a-Service.
MundiX News·15 de abril de 2026·5 min de leitura·👁 3 views
Pesquisadores da empresa Trellix estudaram o funcionamento do botnet Masjesu, que é usado para ataques DDoS e infecta dispositivos IoT de diversas arquiteturas e fabricantes. O malware está ativo pelo menos desde 2023, e seu operador anuncia seus serviços no Telegram como DDoS-as-a-Service.
Masjesu também é conhecido como XorBot — pelo uso de criptografia XOR para ocultar strings, configurações e payloads. Este botnet foi documentado pela primeira vez por especialistas chineses da NSFOCUS em dezembro de 2023, que o associaram ao operador com o apelido synmaestro.
Foi descoberto que 12 exploits para injeção de comandos e execução de código foram adicionados ao arsenal do botnet. Com a ajuda deles, o malware ataca roteadores, câmeras, DVRs e NVRs fabricados por D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron.
"Masjesu aposta no sigilo e na sobrevivência, e não na infecção em massa. O botnet evita deliberadamente intervalos de IP em listas negras, incluindo redes do Departamento de Defesa dos EUA", dizem os especialistas da Trellix. "Essa estratégia aumenta as chances de passar despercebido."
É relatado que o operador do botnet mantém um canal no Telegram em inglês e chinês, visando ambas as audiências. Atualmente, o canal tem mais de 400 assinantes, mas a base de clientes real parece ser maior: o canal anterior do botnet foi fechado pelo Telegram por violar as regras.
Masjesu é anunciado como uma ferramenta para conduzir ataques DDoS em larga escala com uma capacidade de centenas de gigabits, que podem ser direcionados a CDNs, servidores de jogos e recursos corporativos. A maior parte do tráfego de ataque vem do Vietnã (quase 50%), bem como da Ucrânia, Irã, Brasil, Quênia e Índia.
Amostras recentes de malware suportam as arquiteturas i386, MIPS, ARM, SPARC, PPC, 68K e AMD64. Como observado acima, o malware se espalha por meio de vulnerabilidades em roteadores D-Link, GPON, Huawei, Netgear, DVR MVPower, serviços UPnP e outros dispositivos IoT. Além disso, os roteadores Realtek também apareceram na lista de alvos recentemente — o botnet escaneia a porta 52869, associada ao daemon miniigd do Realtek SDK. Um truque semelhante foi usado anteriormente pelos botnets DDoS JenX e Satori.
Depois de penetrar no dispositivo, o malware abre um socket na porta TCP 55988, que é predefinida, para que o operador possa se conectar diretamente. Se isso não for possível, a cadeia de infecção é interrompida.
Se tudo correr bem, o malware se estabelece no sistema. Primeiro, ele cria um processo filho e renomeia o arquivo executável original para que ele se disfarce como um linker dinâmico Linux legítimo. Em seguida, adiciona uma tarefa ao cron — o binário será executado a cada 15 minutos. Depois disso, o processo é movido para o segundo plano e recebe um nome semelhante a um componente do sistema. O malware armazena domínios de servidores de controle, portas, nomes de pastas e processos de forma criptografada em uma tabela especial e descriptografa apenas no momento do acesso.
Além disso, Masjesu encerra os processos wget e curl e bloqueia pastas temporárias compartilhadas (provavelmente para impedir botnets concorrentes).
Para se espalhar, o malware escaneia endereços IP aleatórios em busca de dispositivos vulneráveis. Ao receber um comando do servidor de controle, o botnet lança ataques DDoS de vários tipos: UDP, TCP, VSE, GRE, RDP, OSPF, ICMP, IGMP, TCP_SYN, TCP-ACK, TCP-ACKPSH e HTTP flood.
"Masjesu evita claramente atacar infraestruturas críticas e organizações que possam atrair a atenção das autoridades", observa a Trellix. "Essa estratégia aumenta suas chances de sobrevivência."
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da empresa Trellix estudaram o funcionamento do botnet Masjesu, que é usado para ataques DDoS e infecta dispositivos IoT de diversas arquiteturas e fabricantes. O malware está ativo pelo menos desde 2023, e seu operador anuncia seus serviços no Telegram como DDoS-as-a-Service.
Masjesu também é conhecido como XorBot — pelo uso de criptografia XOR para ocultar strings, configurações e payloads. Este botnet foi documentado pela primeira vez por especialistas chineses da NSFOCUS em dezembro de 2023, que o associaram ao operador com o apelido synmaestro.
Foi descoberto que 12 exploits para injeção de comandos e execução de código foram adicionados ao arsenal do botnet. Com a ajuda deles, o malware ataca roteadores, câmeras, DVRs e NVRs fabricados por D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron.
"Masjesu aposta no sigilo e na sobrevivência, e não na infecção em massa. O botnet evita deliberadamente intervalos de IP em listas negras, incluindo redes do Departamento de Defesa dos EUA", dizem os especialistas da Trellix. "Essa estratégia aumenta as chances de passar despercebido."
É relatado que o operador do botnet mantém um canal no Telegram em inglês e chinês, visando ambas as audiências. Atualmente, o canal tem mais de 400 assinantes, mas a base de clientes real parece ser maior: o canal anterior do botnet foi fechado pelo Telegram por violar as regras.
Masjesu é anunciado como uma ferramenta para conduzir ataques DDoS em larga escala com uma capacidade de centenas de gigabits, que podem ser direcionados a CDNs, servidores de jogos e recursos corporativos. A maior parte do tráfego de ataque vem do Vietnã (quase 50%), bem como da Ucrânia, Irã, Brasil, Quênia e Índia.
Amostras recentes de malware suportam as arquiteturas i386, MIPS, ARM, SPARC, PPC, 68K e AMD64. Como observado acima, o malware se espalha por meio de vulnerabilidades em roteadores D-Link, GPON, Huawei, Netgear, DVR MVPower, serviços UPnP e outros dispositivos IoT. Além disso, os roteadores Realtek também apareceram na lista de alvos recentemente — o botnet escaneia a porta 52869, associada ao daemon miniigd do Realtek SDK. Um truque semelhante foi usado anteriormente pelos botnets DDoS JenX e Satori.
Depois de penetrar no dispositivo, o malware abre um socket na porta TCP 55988, que é predefinida, para que o operador possa se conectar diretamente. Se isso não for possível, a cadeia de infecção é interrompida.
Se tudo correr bem, o malware se estabelece no sistema. Primeiro, ele cria um processo filho e renomeia o arquivo executável original para que ele se disfarce como um linker dinâmico Linux legítimo. Em seguida, adiciona uma tarefa ao cron — o binário será executado a cada 15 minutos. Depois disso, o processo é movido para o segundo plano e recebe um nome semelhante a um componente do sistema. O malware armazena domínios de servidores de controle, portas, nomes de pastas e processos de forma criptografada em uma tabela especial e descriptografa apenas no momento do acesso.
Além disso, Masjesu encerra os processos wget e curl e bloqueia pastas temporárias compartilhadas (provavelmente para impedir botnets concorrentes).
Para se espalhar, o malware escaneia endereços IP aleatórios em busca de dispositivos vulneráveis. Ao receber um comando do servidor de controle, o botnet lança ataques DDoS de vários tipos: UDP, TCP, VSE, GRE, RDP, OSPF, ICMP, IGMP, TCP_SYN, TCP-ACK, TCP-ACKPSH e HTTP flood.
"Masjesu evita claramente atacar infraestruturas críticas e organizações que possam atrair a atenção das autoridades", observa a Trellix. "Essa estratégia aumenta suas chances de sobrevivência."
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
