Im Zentrum steht ein eigens für DDoS-Angriffe gebautes Botnetz: Es empfängt Angriffsbefehle aus dem Panel des Betreibers unter der Adresse xlabslover.lol und erzeugt auf Abruf eine Flut von Datenmüll, die gezielt gegen Spieleserver gerichtet wird. Der Bot ist nach Darstellung von Hunt.io statisch gelinktes ARMv7, läuft auf abgespeckten Android-Firmwares und wird über ADB-Shell-Einfügungen in das Verzeichnis /data/local/tmp ausgeliefert. Die neun Varianten umfassende Payload-Liste des Betreibers ist auf Android-TV-Boxen, Set-Top-Boxen, Smart-TVs und IoT-ARM-Hardware mit werkseitig aktiviertem ADB zugeschnitten.

Hunt.io sieht Hinweise auf eine nach Bandbreite gestaffelte Preisgestaltung des Mietdienstes. Grundlage ist eine Profiling-Routine, die Bandbreite und Standort des Opfers ermittelt: Sie öffnet 8.192 parallele TCP-Verbindungen zum geografisch nächsten Speedtest-Server, lastet diese zehn Sekunden lang aus und meldet die gemessene Übertragungsrate zurück an das Panel. Ziel ist laut Hunt.io, jedes gekaperte Gerät für zahlende Kunden einer Preisklasse zuzuordnen.

Bemerkenswert ist, dass der Bot sich nach dem Übermitteln der Bandbreitenangabe in Megabit pro Sekunde wieder beendet. Da ein Persistenzmechanismus fehlt, muss der Betreiber das Gerät über denselben ADB-Weg erneut infizieren. Nach Angaben von Hunt.io schreibt sich der Bot nicht in dauerhafte Speicherorte, verändert keine Init-Skripte, legt keine systemd-Units an und richtet keine Cron-Jobs ein. Dieses Verhalten deute darauf hin, dass der Betreiber die Bandbreitenmessung als seltene Aktualisierung des Geräteparks versteht und der Kreislauf aus Beenden und Neuinfektion so beabsichtigt ist.

Zusätzlich verfügt xlabs_v1 über ein „Killer"-Subsystem, das konkurrierende Schadsoftware beendet, um die gesamte Upstream-Bandbreite des Geräts für die eigenen DDoS-Angriffe zu beanspruchen. Wer hinter der Malware steht, ist unklar; der Akteur tritt unter dem Namen „Tadashi" auf, wie eine in jeden Build eingebettete, mit ChaCha20 verschlüsselte Zeichenkette zeigt. Auf einem benachbarten Host unter 176.65.139.42 fand Hunt.io zudem das Monero-Mining-Toolkit VLTRig, ohne dass bislang klar ist, ob beide Aktivitäten demselben Akteur zuzurechnen sind.

Hunt.io ordnet xlabs_v1 im kriminell-kommerziellen Vergleich als Mittelklasse ein: ausgefeilter als der typische Mirai-Abkömmling von Gelegenheitstätern, aber weniger ausgereift als die Spitze kommerzieller DDoS-Mietdienste. Der Betreiber konkurriere über Preis und Angriffsvielfalt, nicht über technische Raffinesse; Ziel seien IoT-Geräte von Endkunden, Heimrouter und Betreiber kleiner Spieleserver.

Parallel dazu meldete Darktrace, dass eine absichtlich fehlkonfigurierte Jenkins-Instanz in ihrem Honeypot-Netz von unbekannten Akteuren angegriffen wurde, um ein von einem entfernten Server (103.177.110.202) heruntergeladenes DDoS-Botnetz einzuspielen und zugleich einer Entdeckung zu entgehen. Die spielspezifischen DoS-Techniken unterstrichen, dass die Spielebranche weiterhin stark von Angreifern ins Visier genommen werde, so das Unternehmen.