Masjesu Botnet : Un Nouveau DDoS-for-Hire Ciblant les IoT
Origines et historique
Masjesu est apparu en 2023 et s'est rapidement fait connaître sur des canaux Telegram consacrés aux services illégaux. La commercialisation du botnet suit une logique commerciale structurée: paliers d'abonnement, offres à la durée et support client pour les acheteurs. Ces méthodes rapprochent Masjesu d'un modèle DDoS-for-hire professionnel observé ces dernières années. Les premières annonces publiques ont été repérées en 2023 sur Telegram¹.
Genèse du botnet et mode de commercialisation
Les auteurs affichent une offre complète: ciblage, options personnalisées et facturation selon le type et la durée d'attaque. Cette sophistication commerciale facilite l'accès aux attaques pour des clients peu expérimentés.
Contexte technique et lien avec familles existantes
Techniquement, Masjesu n'invente pas le modèle: balayage massif d'adresses, exploitation de services exposés comme Telnet et SSH, et bruteforce d'identifiants par défaut font partie du flux d'infection. La différence notable tient à la prise en charge d'architectures multiples, MIPS, ARM et x86 sont ciblées, ce qui multiplie les appareils vulnérables.
Chronologie rapide
- 2023 : premières annonces publiques sur Telegram.
- 2024 : detection de balayages par des fournisseurs de sécurité, corrélés à des trafics DDoS volumétriques.
- 2025-2026 : évolution des charges utiles, intégration de techniques d'amplification et service 'à la demande'.
Fonctionnement technique
Architecture du botnet
Masjesu adopte une architecture client-serveur classique: des agents légers déployés sur les appareils compromis communiquent avec un serveur de commande et contrôle (C2) par des canaux chiffrés. Les commandes orchestrent des attaques UDP, TCP SYN, HTTP/HTTPS et des opérations de maintenance pour éviter la détection.
- Balayage : balayage massif d'adresses IPv4 pour identifier ports ouverts (Telnet, SSH, HTTP).
- Compromission : bruteforce et exploitation de vulnérabilités, puis déploiement d'un binaire multi-architecture.
- Persistance : scripts de démarrage (par exemple /etc/init.d), suppression ou rotation discrète des logs.
- Commande : réception d'instructions via le C2 et exécution d'attaques coordonnées.
Vecteurs d'infection et d'expansion
La combinaison d'identifiants par défaut et d'attaques par bruteforce sur Telnet et SSH reste le vecteur le plus documenté pour la propagation des botnets IoT. Les interfaces web non patchées offrant des RCE constituent un autre vecteur majeur. Enfin, les firmwares livrés avec de nombreux appareils activent des services inutiles exposés directement sur Internet, augmentant la surface d'attaque.
Capacités d'attaque
Masjesu peut conduire des attaques volumétriques, des attaques d'épuisement d'état et des attaques applicatives.
- Volumétriques: UDP et ICMP floods pour saturer la bande passante.
- TCP SYN floods: épuisement des tables d'état des serveurs.
- HTTP/HTTPS floods: requêtes simulées pour contourner des filtrages simples.
- Attaques hybrides: combinaison de vecteurs pour maintenir la pression et varier le profil.
Techniques d'obfuscation
Les opérateurs compilent des binaires ciblés pour chaque architecture et chiffrent les communications entre bots et C2 pour réduire les traces réseau. Ils tournent fréquemment d'adresses IP en s'appuyant sur des proxys et des réseaux relais afin d'échapper à un blocage simple.
Études de cas
1) Masjesu - campagne initiale (2023-2025)
Les analyses de logs corrèlent les offres sur Telegram avec des pics d'attaques atteignant parfois plusieurs centaines de Gbps¹. En pratique, les petites et moyennes entreprises sans protections DDoS robustes ont du mal à maintenir leurs services disponibles pendant ces pics.
2) Mirai et le précédent instructif (2016)
Mirai a montré le potentiel destructeur d'une propagation rapide via Telnet et identifiants par défaut; l'attaque contre Dyn en 2016 reste un enseignement majeur. Les mécanismes de Mirai sont documentés dans la littérature sur les botnets².
3) Mēris et attaques contre l'infrastructure (2021)
Mēris a ciblé des équipements réseau de grand opérateur, montrant l'impact quand un botnet attaque des points de la colonne vertébrale d'Internet; la mitigation a exigé filtrage BGP et scrubbing centers².
Perspectives
Évolutions techniques attendues
On peut s'attendre à une modularité accrue: plug-ins d'attaque, modules d'effacement d'empreinte et services complémentaires proposés en option. Le support de nouvelles architectures comme RISC-V augmentera la base d'appareils exploitables.
Tendance du marché criminel
Masjesu illustre une professionnalisation du marché: interfaces utilisateur, documentation et support rapprochent l'offre d'un vrai service commercial. Ce modèle réduit la barrière technique pour des clients malveillants qui n'ont pas de compétences poussées.
Impact sur la stratégie défensive
Les défenses doivent évoluer du réflexe réactif vers une posture proactive: inventaire des devices, segmentation réseau stricte, durcissement des accès et gestion des correctifs. Recourir à des protections cloud pour absorber les pics volumétriques est souvent nécessaire, mais ces solutions ne remplacent pas le durcissement local et les processus d'inventaire et de réponse² ³. Les opérateurs de réseaux doivent aussi conclure des accords de peering et des dispositions de mitigation avec fournisseurs cloud et scrubbing centers pour faire front lors d'attaques massives.
La fenêtre de réaction est courte: inventorier, segmenter, corriger et disposer de procédures de mitigation sont les priorités opérationnelles pour réduire la surface d'attaque et limiter l'impact des campagnes DDoS orchestrées par Masjesu.
Détection et mesures opérationnelles
Sur le plan détection, la télémétrie réseau est essentielle: collecte des flux NetFlow/sFlow, corrélation des logs SSH/Telnet et surveillance des anomalies de trafic sortant. Alertes basées sur des baselines aident à repérer des hausses soudaines du trafic sortant ou des connexions vers un grand nombre d'IP externes. Au niveau des équipements, surveiller l'apparition de processus inconnus et les modifications des scripts de démarrage permet d'identifier des compromissions sur des appliances gérées. En cas d'infection avérée, isoler les segments contaminés et réinitialiser les appareils affectés après nettoyage ou remplacement des firmwares est la meilleure pratique.
Les fabricants doivent expédier des appareils sans comptes par défaut et offrir des mises à jour signées, recommandations reprises par CISA³. Pour les équipes opérationnelles, combiner mesures techniques, procédures et sensibilisation des utilisateurs reste la ligne de défense la plus efficace face à des services DDoS-for-hire comme Masjesu.
