Comment le botnet Masjesu relance le marché du DDoS à la demande via Telegram

Masjesu s’installe dans la catégorie des botnets conçus pour louer de la puissance d’attaque. Repéré depuis 2023 et encore actif en 2026, il est présenté comme un service de DDoS-for-hire via Telegram, avec une promesse simple, transformer des équipements du quotidien en trafic malveillant capable de saturer des services en ligne.

Le point marquant, c’est la diversité des appareils visés. Les analyses publiées par des chercheurs décrivent une capacité à infecter des routeurs et passerelles IoT sur plusieurs architectures, puis à lancer des attaques volumétriques contre des CDN, des serveurs de jeux et des entreprises. Dans le trafic observé, le Vietnam pèse près de la moitié, avec d’autres pays régulièrement impliqués.

Trellix décrit Masjesu comme un DDoS-for-hire actif depuis 2023

Masjesu n’est pas présenté comme un botnet « one shot » destiné à faire du bruit, il est décrit comme un outil commercial pensé pour durer. Les chercheurs de Trellix le qualifient de botnet IoT « stealth », vendu comme service de DDoS-for-hire et promu sur Telegram. L’offre vise des clients qui veulent lancer des attaques sans gérer eux-mêmes l’infection d’un parc de machines.

Le modèle économique se lit dans les cibles mises en avant. Les opérateurs mettent l’accent sur des attaques volumétriques adaptées à des services exposés, comme les CDN, les serveurs de jeux et des réseaux d’entreprise. Concrètement, ce type d’attaque cherche moins à « pirater » qu’à rendre un service indisponible, par saturation de bande passante ou de ressources. C’est un marché déjà occupé par d’autres botnets IoT, mais Masjesu mise sur la discrétion.

Cette discrétion est aussi stratégique. Les chercheurs notent que Masjesu semble éviter des organisations trop sensibles, celles qui déclencheraient une réponse judiciaire ou policière rapide. Trellix évoque même l’évitement de plages IP explicitement sensibles, comme celles associées au DoD. Dit autrement, le botnet cherche des victimes « rentables » et moins risquées, ce qui peut prolonger sa durée de vie et compliquer les opérations de démantèlement.

Routeurs et passerelles IoT ciblés sur plusieurs architectures matérielles

Le carburant de Masjesu, ce sont des équipements IoT exposés, surtout des routeurs et gateways souvent installés sans supervision. Les chercheurs décrivent une compatibilité multi-architectures, avec des variantes capables de tourner sur ARM, MIPS, i386 ou AMD64. Cette polyvalence élargit mécaniquement le vivier, des petits réseaux domestiques aux infrastructures de PME.

Sur le plan technique, Masjesu est aussi associé au surnom XorBot, une référence à l’obfuscation par XOR utilisée pour masquer chaînes, configurations et données. Cette approche réduit l’efficacité de certaines détections statiques et favorise une présence plus longue. Pour se propager, le malware scanne des adresses IP aléatoires et exploite des vulnérabilités sur des équipements de marques citées par les chercheurs, dont D-Link, Netgear et des appareils GPON.

Une fois installé, le bot ouvre un mécanisme de contrôle direct. Les analyses indiquent la création d’un socket lié à un port TCP codé en dur, 55988, utilisé pour permettre à l’attaquant de se connecter. Si l’opération échoue, la chaîne d’attaque est arrêtée, signe d’une logique « propre » et orientée fiabilité. D’autres indicateurs techniques circulent aussi, dont un port 52869 mentionné en lien avec un daemon miniigd sur SDK Realtek, un détail utile pour les équipes SOC.

Vietnam, Ukraine, Iran, Brésil: une géographie d’attaque déjà mesurée

Les observations de trafic donnent une photographie partielle mais parlante. Les attaques associées à Masjesu proviennent surtout de Vietnam, puis de Ukraine, Iran, Brésil, Kenya et Inde. Dans les données rapportées, le Vietnam représente près de 50% du trafic observé, ce qui ne signifie pas que les opérateurs y sont basés, mais que beaucoup d’équipements compromis s’y trouvent.

Pour les victimes, l’impact est concret et immédiat, coupures de service, latence, files d’attente applicatives, voire indisponibilité totale. Les chercheurs soulignent la capacité à mener des attaques volumétriques et à varier les méthodes, avec des floods TCP, UDP et HTTP. Le botnet randomise aussi certains en-têtes et charges utiles pour ressembler davantage à du trafic légitime, ce qui complique la filtration basique et pousse vers des protections plus coûteuses.

La nuance, c’est que la défense ne se limite pas à « acheter un anti-DDoS ». Les recommandations relayées dans l’écosystème SOC insistent sur l’hygiène IoT, mises à jour de firmware, supervision des flux, détection d’anomalies et limitation de débit quand c’est possible. Un analyste SOC résume le dilemme, « tu peux bloquer un pic, mais si ton parc de routeurs reste mal géré, tu redeviens une brique du problème ». Tant que des millions d’objets restent exposés, ce type de service garde un terrain favorable.