{"id":502,"date":"2026-04-08T18:40:15","date_gmt":"2026-04-08T18:40:15","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/masjesu-botnet-emerge-como-un-servicio-ddos-de-alquiler-dirigido-a-dispositivos-iot-globales-cyberdefensa-mx\/"},"modified":"2026-04-08T18:40:15","modified_gmt":"2026-04-08T18:40:15","slug":"masjesu-botnet-emerge-como-un-servicio-ddos-de-alquiler-dirigido-a-dispositivos-iot-globales-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/masjesu-botnet-emerge-como-un-servicio-ddos-de-alquiler-dirigido-a-dispositivos-iot-globales-cyberdefensa-mx\/","title":{"rendered":"Masjesu Botnet emerge como un servicio DDoS de alquiler dirigido a dispositivos IoT globales \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han levantado el tel\u00f3n sobre una botnet sigilosa dise\u00f1ada para ataques distribuidos de denegaci\u00f3n de servicio (DDoS).<\/p>\n

Llamado masjesu<\/strong>la botnet se ha anunciado a trav\u00e9s de Telegram como un servicio de alquiler de DDoS desde que apareci\u00f3 por primera vez en 2023. Es capaz de apuntar a una amplia gama de dispositivos de IoT, como enrutadores y puertas de enlace, que abarcan m\u00faltiples arquitecturas.<\/p>\n

\u00abConstruido para la persistencia y la baja visibilidad, Masjesu prefiere una ejecuci\u00f3n cuidadosa y discreta a una infecci\u00f3n generalizada, evitando deliberadamente rangos de IP bloqueados como los que pertenecen al Departamento de Defensa (DoD) para garantizar la supervivencia a largo plazo\u00bb, dijo el investigador de seguridad de Trellix Mohideen Abdul Khader F. dicho<\/a> en un informe del martes.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Vale la pena se\u00f1alar que la oferta comercial tambi\u00e9n se conoce con el nombre de XorBot debido a su uso de cifrado basado en XOR para ocultar cadenas, configuraciones y datos de carga \u00fatil. Fue documentado por primera vez<\/a> por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vincul\u00e1ndolo con un operador llamado \u00absynmaestro\u00bb.<\/p>\n

A Se descubri\u00f3 que la iteraci\u00f3n posterior de la botnet observada un a\u00f1o despu\u00e9s hab\u00eda agregado 12 exploits diferentes de inyecci\u00f3n de comandos y ejecuci\u00f3n de c\u00f3digo para apuntar a enrutadores, c\u00e1maras, DVR y NVR de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron, y obtener acceso inicial. Tambi\u00e9n se agregaron nuevos m\u00f3dulos para realizar ataques de inundaci\u00f3n DDoS.<\/a><\/p>\n

\u00abComo familia de botnets emergente, XorBot est\u00e1 mostrando un fuerte impulso de crecimiento, infiltr\u00e1ndose y controlando continuamente nuevos dispositivos de IoT\u00bb, dijo NSFOCUS en noviembre de 2024. \u00abEn particular, estos controladores est\u00e1n cada vez m\u00e1s inclinados a utilizar plataformas de redes sociales como Telegram como canales principales para el reclutamiento y la promoci\u00f3n, atrayendo ‘clientes’ objetivo a trav\u00e9s de actividades promocionales activas iniciales, sentando una base s\u00f3lida para la posterior expansi\u00f3n y desarrollo de la botnet\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

Los \u00faltimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de llevar a cabo ataques DDoS volum\u00e9tricos, enfatizando su diversa infraestructura de botnet y su idoneidad para apuntar a redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques organizados por la botnet se originan principalmente en Vietnam, Ucrania, Ir\u00e1n, Brasil, Kenia e India, y Vietnam representa casi el 50% del tr\u00e1fico observado.<\/p>\n

Una vez implementado en un dispositivo comprometido, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir que el atacante se conecte directamente. Si esta operaci\u00f3n falla, la cadena de ataque se elimina inmediatamente.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

De lo contrario, el malware procede a configurar la persistencia, ignorar las se\u00f1ales relacionadas con la terminaci\u00f3n, detener procesos com\u00fanmente utilizados como wget y curl, posiblemente para interrumpir las botnets competidoras, y luego se conecta a un servidor externo para recibir comandos de ataque DDoS para ejecutarlos contra objetivos de inter\u00e9s.<\/p>\n

Masjesu tambi\u00e9n se jacta de capacidades de autopropagaci\u00f3n, lo que le permite sondear direcciones IP aleatorias en busca de puertos abiertos e integrar con \u00e9xito los dispositivos comprometidos en su infraestructura. Una adici\u00f3n notable a la lista de objetivos de explotaci\u00f3n son los enrutadores Realtek, que se lleva a cabo escaneando en busca de 52869, un puerto asociado con SDK de Realtek<\/a>miniigd<\/a> demonio. M\u00faltiples botnets DDoS, como JenX<\/a> y Satori<\/a>han abrazado el mismo enfoque<\/a> en el pasado.<\/p>\n

\u00abLa botnet contin\u00faa expandi\u00e9ndose al infectar una amplia gama de dispositivos IoT en m\u00faltiples arquitecturas y fabricantes\u00bb, dijo Trellix. \u00abEn particular, Masjesu parece evitar apuntar a organizaciones cr\u00edticas sensibles que podr\u00edan generar una atenci\u00f3n legal o policial significativa, una estrategia que probablemente mejora su capacidad de supervivencia a largo plazo\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han levantado el tel\u00f3n sobre una botnet sigilosa dise\u00f1ada para ataques distribuidos de denegaci\u00f3n de servicio (DDoS). Llamado masjesula botnet se ha anunciado a trav\u00e9s de Telegram como un servicio de alquiler de DDoS desde que apareci\u00f3 por primera vez en 2023. Es capaz de apuntar a una amplia gama de dispositivos […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1665,173,86,24,445,1666,694,1664,1097,1095,1663,464],"class_list":["post-502","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-alquiler","tag-botnet","tag-como","tag-cyberdefensa-mx","tag-ddos","tag-dirigido","tag-dispositivos","tag-emerge","tag-globales","tag-iot","tag-masjesu","tag-servicio"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=502"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/502\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}