Eine Auswertung der Herkunftsländer von Angriffen zeigt, dass sich die meisten von Masjesu gekaperten Geräte in Vietnam befinden. Darüber hinaus sind zahlreiche Geräte in Brasilien, Indien, Iran, Kenia und der Ukraine betroffen. Die Daten sprechen laut Trellix klar für verteilte Angriffe aus mehreren autonomen Systemen (ASNs) und damit für die Beteiligung verschiedener Netzwerke – das Botnet werde also nicht ausschließlich bei einem einzelnen VPS-Anbieter gehostet.

Jüngst untersuchte Masjesu-Proben können mehrere Architekturen ins Visier nehmen, darunter i386, MIPS, ARM, SPARC, PPC, 68K (Motorola 68000) und AMD64. Verbreitet wird die Schadsoftware über Schwachstellen in D-Link-Routern, GPON-Routern, Huawei-Heimgateways, MVPower-DVRs, Netgear-Routern, UPnP-Diensten und weiteren IoT-Geräten.

Auf infizierten Geräten bindet die Malware einen Socket an einen fest einprogrammierten TCP-Port, um den Betreibern Fernzugriff zu ermöglichen, und sichert sich gegen Entfernung ab. Sensible Zeichenketten – darunter Command-and-Control-Domains (C&C), Ports, Ordner- und Prozessnamen – speichert sie verschlüsselt in einer Nachschlagetabelle und entschlüsselt sie erst zur Laufzeit.

Für die dauerhafte Verankerung erzeugt Masjesu einen neuen Prozess und benennt den ursprünglichen Programmpfad so um, dass er Pfad und Funktion eines legitimen dynamischen Linkers von Linux nachahmt. Anschließend richtet die Malware einen Cron-Job ein, der die umbenannte Datei alle 15 Minuten ausführt, verwandelt den Prozess in einen Hintergrund-Daemon und tarnt ihn als regulären Systembestandteil.

Zusätzlich beendet die Schadsoftware häufig genutzte Prozesse wie wget und curl und sperrt gemeinsam genutzte temporäre Ordner – vermutlich, um Infektionen durch konkurrierende Botnets zu verhindern. Zur Verbreitung scannt sie zufällige IP-Adressen im Internet nach angreifbaren Geräten.

Masjesu nutzt mehrere C&C-Domains sowie Ausweich-IPs, setzt für die Verbindung zum C&C-Server ein Empfangs-Zeitlimit von 60 Sekunden und entschlüsselt empfangene Daten auf der Client-Seite. Je nach den vom Server übermittelten Anweisungen kann das Botnet verschiedene Arten von DDoS-Angriffen starten, darunter UDP-, TCP-, VSE-, GRE-, RDP-, OSPF-, ICMP-, IGMP-, TCP_SYN-, TCP-ACK-, TCP-ACKPSH- und HTTP-Floods.