Grupo hacker Masjesu converte câmeras e IoT em plataforma de ataques DDoS sob encomenda
Uma nova botnet chamada Masjesu vem se consolidando como uma das ameaças mais preocupantes no cenário atual de cibersegurança. Operando no modelo de “DDoS-as-a-Service”, o grupo transforma milhares de dispositivos IoT comprometidos – como câmeras IP, roteadores, DVRs e NVRs – em uma infraestrutura de ataque disponível para qualquer cliente disposto a pagar pelo serviço.
Ativa pelo menos desde 2023, a operação é organizada, escalável e voltada para lucro contínuo. A infraestrutura do Masjesu é amplamente divulgada em canais privados, onde os operadores vendem pacotes de ataques de negação de serviço sob demanda, com diferentes níveis de intensidade, duração e alvos permitidos. Dessa forma, mesmo criminosos com pouco conhecimento técnico conseguem contratar ataques poderosos contra empresas, serviços online e até outros grupos rivais.
O Masjesu também é conhecido como XorBot, apelido derivado do uso de criptografia baseada em XOR para ocultar comandos e cargas maliciosas que circulam entre os servidores de comando e controle (C2) e os dispositivos infectados. Essa camada adicional de ofuscação dificulta a detecção por soluções tradicionais de segurança, bem como a análise reversa por pesquisadores. A atividade da botnet foi inicialmente documentada por uma empresa de segurança chinesa e, desde então, novas investigações mostram uma evolução constante das táticas, técnicas e procedimentos adotados pelo grupo.
Uma das características que mais chamam a atenção é a diversificação dos vetores de ataque e exploração. Em vez de se concentrar em uma única vulnerabilidade ou fabricante específico, o Masjesu incorpora uma série de técnicas para comprometer diferentes categorias de dispositivos conectados. Roteadores domésticos e corporativos, câmeras de vigilância, gravadores digitais (DVRs) e gravadores de vídeo em rede (NVRs) estão entre os principais alvos, incluindo equipamentos de marcas amplamente difundidas no mercado.
Diferente de botnets “barulhentas”, que buscam infectar o maior número possível de dispositivos sem grande preocupação com perfil de alvo, o Masjesu adota uma postura mais calculada. Os operadores demonstram preocupação em evitar certos tipos de infraestrutura sensível, como redes governamentais e alguns ambientes críticos, justamente para reduzir a exposição e prolongar a vida útil da botnet. Essa conduta evidencia um grau de maturidade operacional maior: o objetivo não é causar caos indiscriminado, mas manter uma rede estável de máquinas zumbis capaz de gerar lucro de forma contínua e com risco relativamente controlado.
Os ataques disparados a partir da botnet são majoritariamente volumétricos, focados em sobrecarregar a largura de banda e os recursos de servidores e serviços online. Entre os principais alvos, destacam-se servidores de jogos online, infraestruturas de redes de distribuição de conteúdo (CDNs) e ambientes corporativos que dependem de disponibilidade contínua para operar. Em muitos casos, esses ataques podem provocar interrupções significativas, degradação de desempenho, perda financeira e danos à reputação das vítimas.
A origem do tráfego malicioso é altamente distribuída, com dispositivos comprometidos espalhados por diversas regiões do mundo. Análises recentes indicam forte concentração de bots em países como Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia. O Vietnã se destaca como o epicentro da operação, respondendo por cerca de metade das atividades observadas. Essa dispersão geográfica torna os ataques mais difíceis de mitigar, já que o tráfego malicioso se mistura com fluxos legítimos provenientes de múltiplas redes e provedores.
Depois de comprometer um dispositivo, o malware associado ao Masjesu investe em garantir persistência. Ele altera configurações do sistema para se manter ativo mesmo após reinicializações e cria um canal dedicado de comunicação com os servidores dos operadores, por meio de uma porta específica. A partir dessa porta, o equipamento passa a receber instruções diretamente dos hackers, podendo ser mobilizado para participar de ataques em massa com poucos segundos de aviso.
Outro comportamento interessante do malware é a desativação de ferramentas como wget e curl, amplamente usadas para baixar arquivos em sistemas baseados em Linux. Ao bloquear esses processos, o Masjesu provavelmente busca impedir que outras botnets ou scripts maliciosos disputem o controle do mesmo dispositivo. Em outras palavras, o grupo protege o “ativo” que passou a fazer parte de sua infraestrutura, evitando concorrência e garantindo exclusividade de uso daquele equipamento para seus próprios ataques.
A botnet também se destaca pela capacidade de autopropagação. O malware realiza varreduras constantes na internet em busca de dispositivos com portas abertas ou vulnerabilidades conhecidas, aproveitando brechas de segurança não corrigidas. Serviços associados a roteadores com chipsets específicos, como alguns modelos baseados em tecnologias Realtek, aparecem com frequência entre os alvos. Essa estratégia automatizada de exploração permite que a rede de dispositivos comprometidos cresça de forma contínua, ampliando o poder de fogo do Masjesu à medida que novos equipamentos são integrados.
O crescimento dessa botnet reforça um movimento já observado há alguns anos: a profissionalização do cibercrime. Em vez de ações isoladas e desorganizadas, vemos grupos estruturando verdadeiros modelos de negócio, com divisão de funções, uso de plataformas de comunicação populares, estratégias de marketing clandestino e até “planos” de serviço em diferentes faixas de preço. Ataques DDoS deixam de ser apenas ferramenta de vingança ou vandalismo digital para se tornar um serviço comercializável, utilizado em extorsões, sabotagem de concorrentes e ataques coordenados contra empresas e provedores.
Esse cenário evidencia um ponto crítico: os dispositivos IoT continuam sendo o elo mais fraco na cadeia de segurança digital, tanto em ambientes corporativos quanto domésticos. Muitos desses equipamentos são instalados com senhas padrão, sem atualizações de firmware e com pouca ou nenhuma visibilidade pela equipe de TI. Câmeras de segurança, babás eletrônicas, roteadores fornecidos por operadoras e dispositivos inteligentes de automação residencial acabam funcionando como portas de entrada perfeitas para grupos como o Masjesu.
Para empresas, a ameaça vai além de ter dispositivos sequestrados para compor uma botnet. A presença de malware em um roteador ou equipamento de vigilância pode ser explorada também para movimentação lateral dentro da rede, roubo de dados, espionagem e instalação de novas famílias de malware. Em muitos casos, o comprometimento de um único ativo IoT mal gerenciado pode abrir caminho para ataques mais sofisticados contra sistemas internos, bancos de dados e aplicações críticas de negócio.
A proteção contra botnets voltadas a IoT passa por um conjunto combinado de medidas técnicas e de governança. Entre as ações mais importantes estão:
– Trocar imediatamente senhas padrão por credenciais fortes e únicas;
– Atualizar regularmente o firmware de roteadores, câmeras e demais dispositivos conectados;
– Desativar serviços e portas desnecessários expostos à internet;
– Segmentar a rede, isolando dispositivos IoT da infraestrutura principal da empresa;
– Monitorar tráfego anômalo de saída, que pode indicar comunicação com servidores de comando e controle;
– Adotar soluções de proteção específicas para IoT e para mitigação de ataques DDoS em borda e na nuvem.
No contexto doméstico, usuários finais também precisam assumir uma postura mais responsável. Equipamentos conectados devem ser tratados como computadores: exigem configuração segura, atualização periódica e atenção a sinais de comportamento estranho, como lentidão repentina na internet, aquecimento excessivo do roteador ou travamentos constantes. Em muitos casos, esses sintomas estão ligados ao uso indevido de recursos do dispositivo em atividades de botnets.
Para provedores de serviços, empresas de hospedagem e organizações que operam grandes infraestruturas online, é fundamental investir em mecanismos de detecção precoce e mitigação de ataques DDoS. Isso inclui uso de tecnologias de scrubbing, balanceamento inteligente de tráfego, acordos com provedores upstream e adoção de boas práticas de engenharia de rede. Ao mesmo tempo, compartilhar indicadores de comprometimento e padrões de tráfego associados a botnets como o Masjesu ajuda na construção de uma defesa coletiva mais eficaz.
Do ponto de vista estratégico, a evolução do Masjesu é um alerta claro de que a era do “amadorismo” em cibercrime ficou para trás. Ataques complexos, infraestruturas globais e exploração massiva de falhas em IoT agora são componentes de negócios ilícitos altamente lucrativos. Ignorar ou subestimar esse movimento significa deixar empresas, serviços essenciais e cidadãos cada vez mais expostos.
Em última análise, a resposta a ameaças como o Masjesu exige uma combinação de conscientização, investimento em tecnologia de defesa, endurecimento de dispositivos IoT desde o projeto (security by design) e atuação coordenada entre empresas, setor público e especialistas em segurança. Enquanto dispositivos desprotegidos continuarem conectados em massa, grupos especializados em botnets terão terreno fértil para transformar a internet das coisas em um grande exército de máquinas a serviço de ataques DDoS sob demanda.