Die von Hunt.io durchgeführte Analyse offenbart ein hochgradig spezialisiertes Botnetz, das sich deutlich von klassischen Mirai-Varianten unterscheidet. xlabs_v1 verfügt über 21 verschiedene Flood-Varianten, die TCP-, UDP- und Raw-Protokolle nutzen – einschließlich RakNet und OpenVPN-verformter UDP-Pakete, die auch Consumer-Grade-DDoS-Schutzmaßnahmen umgehen können.
Die technische Besonderheit liegt in der Mehrplattform-Unterstützung: Neben dem Android APK-Paket “boot.apk” unterstützt der Botnet-Code ARM-, MIPS-, x86-64- und ARC-Architekturen. Dies deutet darauf hin, dass der Betreiber bewusst auf eine breite Palette von IoT-Geräten und Routern abzielt. Die Malware wird via ADB-Shell direkt in das Verzeichnis “/data/local/tmp” injiziert, ohne dass eine Persistenzmechanismus erforderlich ist.
Ein ausgeklügeltes Bandbreitenprofiling-System zeigt die kommerzielle Ausrichtung: Der Botnet-Operator misst die verfügbare Bandbreite jedes kompromittierten Geräts durch parallele TCP-Verbindungen zu Speedtest-Servern und ordnet die Ressourcen dann in Preis-Tiers ein. Dies ermöglicht ein flexibles Abrechnungsmodell für zahlende Kunden.
Besonders bemerkenswert ist die “Killer”-Funktion von xlabs_v1, mit der konkurrierende Botnetze vom befallenen Gerät verdrängt werden, um die gesamte verfügbare Bandbreite für die DDoS-Anschläge zu nutzen. Der Threat Actor signiert seine Arbeit durch einen ChaCha20-verschlüsselten String mit dem Moniker “Tadashi”.
Sicherheitsexperten ordnen xlabs_v1 als “mittleres” kommerzielle Cyber-Bedrohung ein – ausgefeilter als typische Script-Kiddie-Forks, aber weniger raffiniert als Top-Tier-DDoS-Operationen. Der Fokus liegt auf Preiswettbewerb und Angriffsvariabilität statt technischer Sophistication. Gaming-Server-Betreiber und kleine Unternehmen mit IoT-Geräten sind die primären Ziele. Die Analyse unterstreicht die anhaltende Gefahr für die Gaming-Industrie und die Notwendigkeit, ADB-Dienste auf Netzwerk-Geräten zu sichern oder zu deaktivieren.