Маскировка под системные процессы: как ботнет Masjesu три года скрывается в IoT-устройствах, предлагая DDoS-услуги в Telegram

Ботнет целенаправленно атакует широкий спектр устройств интернета вещей, поддерживая множество архитектур процессоров: от распространённых ARM и x86 (i386, AMD64) до более специализированных MIPS, SPARC и даже Motorola 68000. Такой подход гарантирует максимальный охват фрагментированного рынка IoT-оборудования. Для распространения Masjesu сканирует случайные IP-адреса, пытаясь эксплуатировать известные уязвимости в продуктах таких производителей, как D-Link, GPON, Netgear и Huawei. При этом, что особенно показательно, ботнет сознательно избегает сканирования и атак на определённые диапазоны IP-адресов, в частности, принадлежащие Министерству обороны США и другим государственным структурам. Эта тактика "не привлекать лишнего внимания" со стороны сильных игроков позволяет зловреду дольше оставаться в тени.

Основной площадкой для рекламы и взаимодействия с клиентами для операторов Masjesu остаётся Telegram. После блокировки первоначального канала с более чем 2000 подписчиков, в феврале 2025 года был создан новый - "Masjesu Botnet / 僵尸网络". К началу 2026 года он насчитывал около 420 подписчиков. Владельцы активно демонстрируют возможности своего сервиса, публикуя в канале скриншоты с метриками атак. Так, в октябре 2025 года они хвастались DDoS-атакой типа ACK flood мощностью около 290 Гбит/с. Аналитики Trellix ARC в своём отчёте отмечают, что инфраструктура ботнета географически распределена: атаки исходят из множества стран, включая Вьетнам, Украину, Иран и Бразилию, при этом почти половина наблюдаемого трафика приходится на Вьетнам. Это указывает на то, что сеть состоит из реальных скомпрометированных устройств по всему миру, а не размещена на ограниченном числе серверов у одного провайдера.

С технической точки зрения Masjesu - это образец вредоноса, ориентированного на скрытность и закрепление в системе. Все критически важные строки, такие как домены командных серверов (C2), IP-адреса и пути к файлам, хранятся в зашифрованном виде с использованием многоэтапной операции XOR. Расшифровка происходит только в памяти во время выполнения, что сильно ограничивает эффективность статического анализа. После проникновения на устройство ботнет предпринимает ряд шагов для обеспечения живучести. Он создаёт дочерний процесс и переименовывает свой исполняемый файл в "usr/lib/ld-unix.so.2", маскируясь под легитимный системный компонент. Затем он прописывает задание в планировщик cron для запуска каждые 15 минут и демонизируется, то есть переходит в фоновый режим работы. В завершение процесса маскировки вредонос переименовывает свой запущенный процесс в "/usr/lib/systemd/systemd-journald", что усложняет его обнаружение администратором при просмотре списка процессов.

Одной из агрессивных тактик Masjesu является устранение конкурентов. Ботнет принудительно завершает процессы, связанные с утилитами wget и curl, что, вероятно, мешает другим вредоносам загружать свой код на устройство. Также он убивает демон SSH (sshd), блокируя возможность удалённого администрирования для легитимного владельца, и процессы, содержащие в названии "i386", что характерно для некоторых вариантов ботнетов Mirai. Кроме того, он меняет права на файлы в директории "/tmp", ограничивая доступ к временному пространству файловой системы. Для управления ботнетом используется набор из нескольких доменов C2 с резервными IP-адресами, что повышает отказоустойчивость инфраструктуры.

Получив команду от сервера управления, ботнет способен выполнять широкий спектр DDoS-атак, включая UDP, TCP SYN/ACK и HTTP флуды. Поддерживаются и более специфические методы, такие как флуд по протоколам GRE, OSPF или атаки на игровые серверы, использующие Valve Source Engine. Все исходящие пакеты генерируются со случайными заголовками, что помогает атаке лучше маскироваться под легитимный трафик и обходить простые сигнатуры систем обнаружения вторжений (IDS).

Угроза, которую представляет Masjesu, подчёркивает системные проблемы безопасности IoT-экосистемы: устаревшее программное обеспечение, слабые учётные данные по умолчанию и отсутствие встроенного мониторинга. Для защиты эксперты рекомендуют, в первую очередь, своевременно обновлять прошивки всех сетевых устройств, особенно упомянутых в анализе вендоров. Критически важно заменять пароли по умолчанию на сложные и уникальные. На корпоративном уровне необходим мониторинг сетевого трафика на предмет необычных исходящих соединений, а также наблюдение за целостностью системных процессов и файлов, поскольку Masjesu активно маскируется под легитимные компоненты. Ботнет Masjesu олицетворяет новое поколение коммерческих IoT-угроз, где приоритетом является не скорость распространения, а создание устойчивой, скрытной и мощной платформы для кибератак, что требует от специалистов по информационной безопасности более глубокого и комплексного подхода к защите периферийных сетевых устройств.

IPv4 Port Combinations

158.94.208.122:443

178.16.54.252:443

192.168.5.220:443

Domains

• conn.elbbird.zip
• conn.f12screenshot.xyz
• conn.masjesu.zip
• gpbtpz.rodeo
• satanshop.net
• starlight.fans

SHA256

• 4190491b9006404cab256d66125bd77b1c3a0e63451fbb3d829617d7e87acc9b
• 620f6949b82f9ef987b7511fbbb09c2da57d8be47b019fa6a9686ce08b4c3e70
• 8340ff8920412a70f0c29cdf72f6f218e61142b3f210e70e24811c413971a8ed
• 85758df12964024af3ae829e3630f9ad5de7c55dae00181198033da8816e3293
• 87f11a3ee2486bc4845a28465c2e70d2d9f98725edf4a73c3359c23a43ed74b7
• 8ce9145fee0d3d2444554d901b334c36e71bb1346280ada7ff366cf9d25c5938
• 9c683b0be86d4cd274a7a16073bdf092218f259b055a72f848d589574e9b8084
• b53d4781bbadb17014da280e274e11f2de9063a35f2eabd32d4596707b147306
• cb4a3665ebd12bdb094b9fc188793c67ec3008363a49b1dde00d488b54df984b
• d8018e31b77b135ed300a988757f409347d013b76f9c9a4972e48cb715f45967
• de5fb68023465cb5d8ace412e11032d98a41bd6af2a83245c046020530130496
• dfd830368724f6abcc542bc8b85e3d5fa2aedf8282d3805d0d6d53f45c7e0937
• f39b67fff1f106fb1b4fa9beb386427c8e7eb010f306ad0445da70bffc855f2e