Eine ein Jahr nach der Erstdokumentation beobachtete Variante des Botnets ergänzte laut NSFOCUS zwölf verschiedene Exploits für Befehlsinjektion und Codeausführung. Damit zielt die Schadsoftware auf Router, Kameras, DVR- und NVR-Geräte der Hersteller D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link und Vacron, um sich einen ersten Zugang zu verschaffen. Zugleich kamen neue Module für DDoS-Flutangriffe hinzu.
NSFOCUS beschrieb XorBot im November 2024 als aufstrebende Botnet-Familie mit starker Wachstumsdynamik, die fortlaufend neue IoT-Geräte unterwandere und kontrolliere. Auffällig sei, dass die Betreiber zunehmend Social-Media-Plattformen wie Telegram als Hauptkanal nutzten, um Kundschaft anzuwerben und das Botnet zu bewerben.
Nach den aktuellen Trellix-Daten stammen die Angriffe des Botnets vor allem aus Vietnam, der Ukraine, dem Iran, Brasilien, Kenia und Indien. Auf Vietnam entfällt dabei fast die Hälfte des beobachteten Datenverkehrs.
Ist die Schadsoftware auf einem kompromittierten Gerät aktiv, erstellt sie einen Socket und bindet ihn an einen fest kodierten TCP-Port (55988), damit sich der Angreifer direkt verbinden kann. Schlägt dieser Schritt fehl, bricht die Angriffskette sofort ab. Andernfalls richtet die Schadsoftware Persistenz ein, ignoriert Signale zur Prozessbeendigung und stoppt verbreitete Prozesse wie wget und curl – möglicherweise, um konkurrierende Botnets zu stören. Anschließend verbindet sie sich mit einem externen Server, um DDoS-Befehle zu empfangen und gegen ausgewählte Ziele auszuführen.
Masjesu verfügt zudem über Selbstverbreitungsfunktionen: Es prüft zufällige IP-Adressen auf offene Ports und gliedert erfolgreich kompromittierte Geräte in seine Infrastruktur ein. Neu auf der Liste der Angriffsziele sind Realtek-Router, die über den Port 52869 angesprochen werden – verbunden mit dem miniigd-Daemon des Realtek-SDK. Trellix verweist darauf, dass mehrere DDoS-Botnets wie JenX und Satori in der Vergangenheit denselben Ansatz verfolgt haben.
Das Botnet wachse weiter, indem es eine breite Palette von IoT-Geräten über verschiedene Architekturen und Hersteller hinweg infiziere, so Trellix. Bemerkenswert sei, dass Masjesu offenbar darauf verzichte, sensible kritische Organisationen anzugreifen, die erhebliche rechtliche oder strafverfolgende Aufmerksamkeit auslösen könnten – eine Strategie, die seine langfristige Überlebensfähigkeit verbessern dürfte.
