Millones de solicitudes y cero anonimato: cómo una torpeza destapó una red para hackear servidores de juegos
La pereza del dueño selló el destino de un complejo código
Una carpeta abierta en un servidor en los Países Bajos reveló la operativa interna de un servicio de DDoS que se lucraba con ataques contra servidores de juego. El operador xlabs_v1 dejó sin contraseña un conjunto de archivos, a partir de los cuales los especialistas de Hunt.io reconstruyeron el dispositivo del botnet, su infraestructura y su modelo comercial.
Los archivos se encontraron a principios de abril de este año durante la monitorización del proveedor de hosting Offshore LC. En el servidor 176.65.139[.]44 había un directorio accesible con seis archivos, incluidos un binario ARM32 operativo, una compilación de depuración para x86-64, comandos de infección a través de ADB, credenciales SOCKS5 y un archivo de señuelo para objetivos. La compilación operativa está empaquetada con UPX y despojada de símbolos, pero la variante de depuración conserva los nombres de funciones, las cadenas de salida y las referencias a los archivos fuente, lo que facilita mucho el análisis.
Según los autores del informe, xlabs_v1 evolucionó a partir de Mirai y es gestionado por un operador con el seudónimo Tadashi. El botnet se comercializa como servicio de DDoS para ataques a plataformas de juego, incluidos hospedajes de Minecraft. El malware admite 21 variantes de ataques de inundación por TCP, UDP y protocolos raw; entre ellas hay modos para RakNet y tráfico UDP similar a OpenVPN. Ese conjunto ayuda a eludir protecciones simples contra DDoS a nivel de consumo.
El principal vector de infección sigue siendo Android Debug Bridge en TCP/5555. Están en riesgo los decodificadores Android TV, los reproductores multimedia, los televisores inteligentes, los enrutadores y otros dispositivos IoT donde ADB esté accesible desde internet. Para ampliar su alcance, el operador prepara compilaciones para diferentes arquitecturas, incluidas ARM, MIPS, x86-64, ARC y paquetes APK de Android.
Tras iniciarse, el bot se hace pasar por /bin/bash, borra el argumento de la línea de comandos, se desconecta del terminal e intenta eliminar software malicioso competidor. Una función aparte busca un proceso asociado con TCP/24936 y lo finaliza. Los especialistas consideran que así el operador libera el ancho de banda del dispositivo infectado para sus propios ataques.
El código presta especial atención a la valoración de la potencia de las víctimas. El bot abre 8192 conexiones TCP paralelas hacia el servidor de Speedtest más cercano, transmite datos durante aproximadamente diez segundos y envía el resultado al panel de control. Esta comprobación permite clasificar los dispositivos infectados por la velocidad del canal y vender el acceso a los nodos más rápidos a mayor precio.
Las cadenas en el binario están cifradas con ChaCha20, pero una clave débil y la reutilización del nonce permiten reconstruir la tabla. Entre los datos revelados figuran el dominio de control xlabslover[.]lol, la etiqueta xlabs_v1, el seudónimo Tadashi y un token de autenticación. La infraestructura incluye un C2 en 176.65.139[.]134, servidores de distribución en el mismo rango 176.65.139[.]0/24 y un acceso de reserva a través de TCP/26721. En ese mismo segmento también se observan rastros del minero de Monero VLTRig, pero no se pudo confirmar una relación directa entre las campañas.
Los autores del informe evalúan la operación como de nivel medio. xlabs_v1 tiene una lógica comercial elaborada, varios niveles de redundancia y un amplio conjunto de ataques, pero el servidor de staging abierto, la compilación de depuración y las credenciales dejadas atrás debilitan seriamente la protección del operador.