Botnet Masjesu Muncul sebagai Layanan DDoS-for-Hire Serang Perangkat IoT Global

Para peneliti keamanan siber baru-baru ini mengungkap keberadaan sebuah botnet tersembunyi bernama Masjesu yang dirancang khusus untuk melakukan serangan distributed denial-of-service (DDoS). Botnet ini berperan sebagai layanan DDoS-for-hire yang mulai beroperasi sejak tahun 2023 dan menargetkan berbagai perangkat Internet of Things (IoT) di seluruh dunia.

Botnet Masjesu dan Karakteristiknya

Masjesu dipromosikan melalui platform Telegram sebagai layanan penyewaan serangan DDoS. Botnet ini unggul dalam menyerang perangkat IoT seperti router dan gateway dengan berbagai arsitektur, menunjukkan kemampuan adaptasi yang tinggi.

"Dirancang untuk bertahan lama dan sulit dideteksi, Masjesu memilih eksekusi yang hati-hati dan rendah profil dibandingkan infeksi massal, dengan sengaja menghindari rentang IP yang masuk daftar blokir seperti milik Departemen Pertahanan AS (DoD) agar dapat bertahan dalam jangka panjang," ujar peneliti keamanan Trellix, Mohideen Abdul Khader F, dalam laporan pada hari Selasa.

Botnet ini juga dikenal dengan nama XorBot, karena menggunakan enkripsi berbasis XOR untuk menyembunyikan string, konfigurasi, dan data payloadnya. Pertama kali didokumentasikan oleh vendor keamanan asal Cina, NSFOCUS, pada Desember 2023, botnet ini terkait dengan operator yang dikenal sebagai "synmaestro."

Perkembangan dan Metode Serangan Botnet Masjesu

Setahun setelah kemunculannya, botnet ini mengalami pembaruan dengan menambahkan 12 eksploitasi injeksi perintah dan eksekusi kode yang menargetkan perangkat seperti router, kamera, DVR, dan NVR dari merek ternama seperti D-Link, Huawei, TP-Link, dan NETGEAR. Selain itu, modul baru juga ditambahkan untuk melakukan serangan banjir DDoS.

"Sebagai keluarga botnet yang sedang berkembang, XorBot menunjukkan momentum pertumbuhan yang kuat, terus menyusup dan mengendalikan perangkat IoT baru," kata NSFOCUS pada November 2024. "Yang menarik, para pengendali semakin banyak menggunakan platform media sosial seperti Telegram sebagai saluran utama perekrutan dan promosi, menarik 'pelanggan' melalui aktivitas promosi aktif yang menjadi fondasi kuat untuk ekspansi botnet."

Target Serangan dan Distribusi Geografis

Menurut temuan terbaru dari Trellix, Masjesu memasarkan kemampuannya untuk melakukan serangan volumetrik DDoS dengan infrastruktur botnet yang beragam, cocok untuk menargetkan content delivery networks (CDN), server game, dan perusahaan besar.

• Serangan yang dilakukan terutama berasal dari negara-negara seperti Vietnam, Ukraina, Iran, Brasil, Kenya, dan India.
• Vietnam menjadi pusat lalu lintas dengan hampir 50% dari total aktivitas yang terpantau.

Setelah berhasil menginfeksi perangkat, malware akan membuat dan mengikat socket dengan port TCP bernomor 55988 agar penyerang dapat terhubung langsung. Jika proses ini gagal, rantai serangan langsung dihentikan.

Selanjutnya, malware mengatur agar tetap bertahan di perangkat, mengabaikan sinyal penghentian, serta mematikan proses umum seperti wget dan curl—kemungkinan untuk mengganggu botnet pesaing. Malware kemudian menghubungi server eksternal untuk menerima perintah serangan DDoS yang akan dijalankan.

Strategi Penyebaran dan Target Eksploitasi

Masjesu juga dilengkapi kemampuan self-propagation, yang memungkinkan malware memindai alamat IP secara acak mencari port terbuka dan menarik perangkat yang berhasil dikompromikan ke dalam infrastrukturnya.

Salah satu target eksploitasi terbaru adalah router Realtek, yang diserang dengan memindai port 52869, sebuah port yang terkait dengan daemon miniigd dari SDK Realtek. Metode ini juga pernah digunakan oleh botnet lain seperti JenX dan Satori.

"Botnet terus berkembang dengan menginfeksi berbagai perangkat IoT dari berbagai arsitektur dan produsen," kata Trellix. "Menariknya, Masjesu menghindari menargetkan organisasi kritis yang sensitif yang berpotensi memicu perhatian hukum atau penegak hukum, strategi yang kemungkinan meningkatkan kelangsungan hidup jangka panjangnya."

Analisis Redaksi

Menurut pandangan redaksi, kemunculan dan ekspansi botnet Masjesu menandai tren baru dalam serangan siber yang semakin canggih dan terorganisir. Penggunaan platform media sosial seperti Telegram sebagai alat pemasaran layanan DDoS-for-hire menunjukkan bagaimana serangan siber kini semakin mudah diakses dan dikomersialkan, memperluas ancaman tidak hanya pada perusahaan besar tapi juga ekosistem IoT secara global.

Kemampuan botnet ini untuk menghindari target sensitif memperlihatkan tingkat kecanggihan yang mengindikasikan operatornya berupaya menjaga keberlangsungan operasi dalam jangka panjang. Ini menjadi tantangan serius bagi industri keamanan siber yang harus terus berinovasi dalam mendeteksi dan merespons ancaman yang kian tersembunyi dan tersebar luas.

Ke depan, peningkatan pengawasan terhadap perangkat IoT, edukasi pengguna, dan kolaborasi internasional dalam penegakan hukum akan sangat krusial untuk membendung lajunya botnet seperti Masjesu. Pembaca disarankan untuk terus mengikuti pembaruan dari sumber terpercaya agar dapat memahami perkembangan ancaman ini dan langkah mitigasi yang harus diambil.

Untuk informasi lebih lengkap, kunjungi sumber asli artikel ini di The Hacker News dan simak laporan mendalam dari NSFOCUS mengenai tren botnet dan keamanan IoT.