Masjesu Jadi Senjata Baru Hacker Serang IoT Secara Global

Ancaman keamanan siber kembali berkembang dengan munculnya botnet baru bernama Masjesu, yang kini diketahui beroperasi sebagai layanan serangan distributed denial-of-service (DDoS) berbayar. Temuan ini mengungkap bagaimana pelaku kejahatan siber semakin memanfaatkan perangkat Internet of Things (IoT) untuk melancarkan serangan berskala besar secara tersembunyi dan terorganisir.

Berdasarkan laporan dari Trellix, Masjesu pertama kali terdeteksi pada tahun 2023 dan sejak itu dipromosikan melalui platform Telegram sebagai layanan DDoS-for-hire. Artinya, siapa pun dengan niat jahat dapat “menyewa” botnet ini untuk melumpuhkan target tertentu, mulai dari server game hingga infrastruktur perusahaan.

Menyasar Perangkat IoT yang Rentan

Salah satu keunggulan sekaligus bahaya dari Masjesu adalah kemampuannya menargetkan berbagai perangkat IoT. Perangkat seperti router, gateway, kamera pengawas, hingga DVR dan NVR sering kali memiliki sistem keamanan yang lemah atau jarang diperbarui. Hal ini menjadikannya sasaran empuk bagi botnet untuk disusupi dan dikendalikan dari jarak jauh.

Masjesu dirancang untuk bekerja di berbagai arsitektur perangkat, sehingga jangkauan serangannya sangat luas. Tidak hanya terbatas pada satu jenis perangkat atau merek, botnet ini mampu mengeksploitasi berbagai celah keamanan pada produk dari sejumlah vendor besar seperti D-Link, Huawei, TP-Link, hingga NETGEAR.

Menurut peneliti Mohideen Abdul Khader F, Masjesu tidak beroperasi secara agresif seperti botnet pada umumnya. Sebaliknya, ia mengadopsi pendekatan yang lebih “tenang” dan tersembunyi. Strategi ini memungkinkan botnet bertahan lebih lama tanpa terdeteksi oleh sistem keamanan.

Strategi Cerdas: Menghindari Target Sensitif

Salah satu hal menarik dari Masjesu adalah kemampuannya menghindari target tertentu. Botnet ini secara sengaja tidak menyerang alamat IP yang masuk dalam daftar blokir, termasuk jaringan milik lembaga sensitif seperti Departemen Pertahanan Amerika Serikat (DoD). Langkah ini diduga untuk menghindari perhatian dari penegak hukum atau lembaga keamanan tingkat tinggi.

Pendekatan ini menunjukkan bahwa operator di balik Masjesu memiliki strategi jangka panjang. Alih-alih melakukan serangan besar yang mencolok, mereka memilih untuk tetap “di bawah radar” sambil terus memperluas jaringan botnet secara perlahan.

Evolusi Menjadi XorBot

Masjesu juga dikenal dengan nama lain, yaitu XorBot. Nama ini berasal dari penggunaan teknik enkripsi XOR untuk menyembunyikan data penting seperti konfigurasi, string, dan payload. Teknik ini membuat aktivitas botnet lebih sulit dianalisis oleh peneliti keamanan.

Vendor keamanan asal Tiongkok, NSFOCUS, pertama kali mendokumentasikan botnet ini pada akhir 2023. Mereka juga mengaitkannya dengan seorang operator yang dikenal dengan nama samaran “synmaestro.”

Dalam perkembangannya, versi terbaru Masjesu mengalami peningkatan signifikan. Botnet ini kini dilengkapi dengan lebih dari 12 metode eksploitasi yang memungkinkan pelaku untuk melakukan injeksi perintah dan eksekusi kode pada perangkat target.

Infrastruktur Serangan yang Terus Berkembang

Masjesu tidak hanya mengandalkan jumlah perangkat yang terinfeksi, tetapi juga memperkuat infrastrukturnya untuk melancarkan serangan DDoS berskala besar. Serangan jenis ini biasanya bertujuan untuk membanjiri server target dengan lalu lintas internet dalam jumlah besar hingga tidak dapat diakses oleh pengguna normal.

Menariknya, sebagian besar lalu lintas serangan yang dihasilkan botnet ini berasal dari beberapa negara, seperti Vietnam, Ukraina, Iran, Brasil, Kenya, dan India. Vietnam bahkan menyumbang hampir setengah dari total aktivitas yang terdeteksi.

Setelah berhasil menginfeksi perangkat, malware Masjesu akan membuka jalur komunikasi melalui port TCP tertentu (55988). Ini memungkinkan operator untuk mengontrol perangkat secara langsung. Jika proses ini gagal, malware akan menghentikan operasinya untuk menghindari deteksi.

Namun jika berhasil, botnet akan memperkuat keberadaannya di dalam sistem dengan mengaktifkan mekanisme persistence. Ia juga menghentikan proses tertentu seperti wget dan curl, yang kemungkinan digunakan untuk mencegah intervensi dari botnet lain.

Kemampuan Menyebar Secara Otomatis

Salah satu fitur paling berbahaya dari Masjesu adalah kemampuannya untuk menyebar sendiri. Botnet ini dapat memindai alamat IP secara acak untuk mencari perangkat dengan port terbuka, lalu mencoba mengeksploitasinya.

Salah satu target terbaru adalah router berbasis Realtek, khususnya melalui port 52869 yang terkait dengan layanan miniigd. Teknik ini bukan hal baru, karena sebelumnya juga digunakan oleh botnet seperti JenX dan Satori.

Dengan kemampuan ini, Masjesu dapat terus memperluas jaringan tanpa intervensi langsung dari operator, menjadikannya ancaman yang semakin sulit dikendalikan.

Dugaan Pelaku di Balik Masjesu

Dalam pembaruan terbaru, firma intelijen keamanan Breakglass Intelligence mengungkap bahwa botnet ini kemungkinan besar dioperasikan oleh seorang warga negara Turki bernama Seyit Girgin.

Individu ini diduga menjalankan berbagai aktivitas ilegal di dunia maya, termasuk layanan DDoS berbayar, pencurian akun game, hingga eksploitasi token Discord yang terhubung dengan kartu kredit. Ia juga disebut mengelola sejumlah akun GitHub dan kanal Telegram untuk mendukung operasinya.

Ancaman Nyata bagi Dunia Digital

Kemunculan Masjesu menegaskan bahwa lanskap ancaman siber terus berkembang dengan cepat. Perangkat IoT yang semakin banyak digunakan dalam kehidupan sehari-hari justru menjadi titik lemah yang dimanfaatkan oleh pelaku kejahatan.

Bagi pengguna, penting untuk meningkatkan keamanan perangkat dengan rutin memperbarui firmware, menggunakan kata sandi yang kuat, dan menonaktifkan akses yang tidak diperlukan. Sementara bagi perusahaan, investasi pada sistem keamanan siber yang lebih canggih menjadi langkah krusial untuk menghadapi ancaman seperti ini.

Dengan strategi yang cerdas, kemampuan teknis yang terus berkembang, dan model bisnis ilegal yang terorganisir, Masjesu menjadi salah satu botnet yang patut diwaspadai dalam beberapa tahun ke depan.