Uma nova botnet chamada Masjesu está ganhando destaque no cenário global de cibersegurança ao operar como um serviço de DDoS sob demanda, explorando milhares de dispositivos IoT comprometidos. Ativa desde 2023, a infraestrutura vem sendo promovida em canais do Telegram, permitindo que clientes contratem ataques de negação de serviço de forma acessível e escalável.

A operação, também conhecida como XorBot devido ao uso de criptografia baseada em XOR para ocultar comandos e cargas maliciosas, foi inicialmente documentada pela empresa chinesa NSFOCUS. Desde então, análises mais recentes indicam uma evolução significativa da ameaça, incluindo a incorporação de múltiplas técnicas de exploração para comprometer dispositivos como roteadores, câmeras, DVRs e NVRs de diversos fabricantes amplamente utilizados no mercado.

Ao contrário de botnets tradicionais que buscam infecção em larga escala, o Masjesu adota uma abordagem mais discreta e estratégica. A operação evita deliberadamente atingir infraestruturas sensíveis — como redes governamentais — para reduzir o risco de exposição e prolongar sua permanência ativa. Esse comportamento indica um nível mais sofisticado de operação, focado em sustentabilidade e lucro contínuo.

Os ataques conduzidos pela botnet são predominantemente do tipo volumétrico, com capacidade para impactar servidores de jogos, redes de distribuição de conteúdo (CDNs) e ambientes corporativos. A origem do tráfego malicioso é global, com forte concentração em países como Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia — sendo o Vietnã responsável por cerca de metade das atividades observadas.

Após comprometer um dispositivo, o malware estabelece persistência no sistema e abre uma porta de comunicação dedicada para receber comandos diretamente dos hackers. Além disso, ele desativa processos comuns como wget e curl, possivelmente para impedir a ação de outras botnets concorrentes. A partir daí, o dispositivo passa a integrar a rede de ataque e pode ser utilizado em campanhas coordenadas.

Outro diferencial relevante do Masjesu é sua capacidade de autopropagação. A botnet realiza varreduras constantes em busca de dispositivos vulneráveis, explorando portas abertas e falhas conhecidas — como serviços associados a roteadores Realtek. Essa estratégia permite a expansão contínua da rede de dispositivos comprometidos, aumentando seu poder de ataque ao longo do tempo.

Especialistas apontam que o crescimento dessa botnet reforça uma tendência preocupante: a profissionalização do cibercrime, com modelos de negócio estruturados e uso intensivo de plataformas populares para recrutamento e comercialização de ataques. O cenário evidencia a urgência na proteção de dispositivos IoT, frequentemente negligenciados em estratégias de segurança corporativa e residencial.