Niet-gepatchte industriële IoT-apparaten stellen slimme fabrieksvloeren bloot aan commerciële botnetafpersing en ernstige operationele downtime.
Operationele technologieomgevingen verbinden miljoenen slimme sensoren, verbonden actuatoren en IP-camera’s met hun infrastructuur. Voor het bouwen van een responsief IIoT is een leger routeringshardware en edge-gateways nodig om die telemetrie terug te leiden naar centrale servers. Die hardware creëert een enorm, slecht verdedigd aanvalsoppervlak.
Trellix-onderzoekers volgen momenteel het Masjesu-botnet, een bedreiging die precies laat zien hoe cybercriminelen geld verdienen met deze specifieke IoT-periferie. Masjesu is actief sinds begin 2023 en loopt door tot in 2026. Het opereert als een DDoS-for-hire-service, die rechtstreeks aan kopers wordt verkocht via Telegram-kanalen.
Standaardmalware zorgt vaak voor snelle, luidruchtige infecties op desktopcomputers of standaardservers. Masjesu gedraagt zich anders. De operators hebben het gebouwd voor stealth en overleving op de lange termijn, specifiek op ingebedde IoT-systemen. Het zoekt naar de processorarchitecturen die routinematig slimme meters, magazijnrobotica en faciliteitenbewakingstools uitvoeren, waaronder i386, MIPS, ARM en AMD64.
De operators verhuren dit gecompromitteerde IoT-netwerk, waardoor klanten de vuurkracht krijgen om netwerkoverstromingen te lanceren die honderden gigabits per seconde bereiken. Voor een industriële faciliteit die afhankelijk is van continue IoT-datastromen voor geautomatiseerde logistiek, staat een hit van dit botnet gelijk aan onbeheersbare downtime.
Voor het overbruggen van oudere operationele systemen met moderne IIoT-platforms zijn edge-apparaten nodig die vaak geen native beveiligingsmonitoring hebben. Masjesu gedijt in deze blinde vlekken. Fabrieksmanagers aarzelen vaak om routinematige firmware-updates toe te passen op slimme randapparatuur, uit angst dat een patch een kwetsbaar productieproces kan verstoren. Cybercriminelen vertrouwen op deze aarzeling om hun botnets te bouwen uit vergeten bewakingscamera’s en verwaarloosde omgevingssensoren.
Wanneer slimme sensoren vijandige knooppunten worden
Door fabriekshardware aan internetverbindingen te koppelen, ontstaan exploiteerbare gaten. Masjesu zoekt actief naar deze zwakke punten door willekeurige IP-adressen te scannen om ongepatchte IoT-gateways en ingebedde systemen te vinden.
Faciliteiten zetten deze apparaten in om temperatuurmetingen te verzamelen, debieten te monitoren of externe toegang te geven aan onderhoudscontractanten. Wanneer ze worden aangetast, veranderen deze perifere activa in vijandige knooppunten. Ze stoppen met het uitvoeren van hun beoogde industriële functies en vallen in plaats daarvan het hostnetwerk aan of sluiten zich aan bij externe aanvallen.
Het verkeersvolume dat dit botnet genereert, zal goed uitgeruste industriële netwerken overweldigen. In oktober 2025 lieten de operators een ACK-overstromingsaanval zien met een snelheid van ongeveer 290 gigabit per seconde, wat zich vertaalt naar 290 miljoen pakketten per seconde. Als een regionale energieleverancier of een sterk geautomatiseerde logistieke hub die klap opvangt, verbreekt de latentie onmiddellijk de verbinding tussen fysieke sensoren en de centrale controlekamer.
Geautomatiseerde productielijnen hebben constante gegevensuitwisseling nodig om veilig te kunnen functioneren. Netwerkoverstromingen zorgen ervoor dat de opbrengsten niet meer stijgen en brengen de fysieke veiligheid van apparatuur actief in gevaar. Als aangesloten monitoren op de fabrieksvloer hun verwerkingskracht inzetten voor een DDoS-aanval, ontstaan er onmiddellijk problemen met de toeleveringsketen.
Het botnet draait op een wereldwijd gedistribueerde infrastructuur. Uit telemetrie blijkt dat bijna 50 procent van het aanvalsverkeer uit Vietnam komt, terwijl de rest verspreid is over netwerken in Oekraïne, Iran, Brazilië, Kenia en India. Deze geografische spreiding maakt het ongelooflijk moeilijk voor standaard bedrijfsfirewalls om het slechte verkeer tegen te houden zonder ook legitieme operationele gegevens afkomstig van internationale supply chain-partners te blokkeren. Beveiligingsteams hebben moeite om de uptime te behouden terwijl ze miljoenen vervalste IoT-verzoeken doorzoeken.
Malware verbergen in energiezuinige architectuur
Het beveiligen van een vloot IoT-apparaten vereist hardwareduurzaamheid en strikte toegangscontroles. Masjesu breekt beide actief.
De malware maakt gebruik van op XOR gebaseerde encryptie om de command-and-control-instructies te verbergen, waardoor strings, configuraties en payload-gegevens worden verborgen. Deze methode omzeilt gemakkelijk de basistools voor statische detectie die af en toe op bedrijfsnetwerken worden ingezet. De initiële payload wordt alleen tijdens runtime gedecodeerd, met behulp van een meertraps XOR-reeks met specifieke sleutels om domeinen, IP-adressen en mappaden te onthullen.
Na uitvoering op een slimme gateway of sensor start het botnet agressieve persistentieroutines om de hardware te kapen. Het splitst een nieuw proces op en hernoemt het oorspronkelijke uitvoerbare pad zodat het lijkt op een standaard 32-bit Linux dynamische linker: /usr/lib/ld-unix.so.2. Vervolgens wordt een geplande taak ingesteld en wordt een cron-taak geschreven die dit verkapte proces elke 15 minuten uitvoert. De malware zet het proces om in een achtergronddaemon, waardoor het onzichtbaar kan draaien op IoT-besturingssystemen met weinig bronnen en stroomcycli kan overleven.
Het proces hernoemt de argumentwaarde opnieuw naar /usr/lib/systemd/systemd-journald om op te gaan in de achtergrond van een standaard industriële controller. De malware valt actief de hostomgeving aan om zichzelf te beschermen. Het doodt rivaliserende processen, vooral die met bestandsnamen die de string bevatten ik386en beëindigt administratieve tools zoals wget, krulEn sshd.
Door de beveiligde shell-daemon opzettelijk uit te schakelen, kunnen OT-ingenieurs niet op afstand inloggen op de geïnfecteerde hardware om het probleem op te lossen. Vervolgens worden de bestandsrechten in de gedeelde tijdelijke map beperkt tot CHMOD 400, waardoor de ruimte wordt vergrendeld voor alleen-lezen toegang, zodat de absolute controle over het ingebedde apparaat behouden blijft.
Gefragmenteerde IoT-toeleveringsketens en verwaarlozing van firmware
De fysieke infrastructuur is sterk afhankelijk van een gemengd ecosysteem van IoT-hardwareleveranciers. Masjesu maakt misbruik van bekende kwetsbaarheden bij verschillende grote fabrikanten, wat het gevaar van vertraagde patching aantoont.
De propagatieroutine scant op open poorten die zijn gekoppeld aan specifieke IoT-hardwareprofielen. Het jaagt op poort 37215 om Huawei-thuisgateways te raken, poort 49152 voor D-Link-routers en poort 80 of 8080 voor Netgear- en GPON-kwetsbaarheden. Het richt zich expliciet op verbonden eindpuntdiensten, waaronder Vacron NVR’s, CCTV en digitale videorecordersystemen die op poort 81 draaien, samen met Universal Plug and Play-diensten.
Na misbruik te hebben gemaakt van een kwetsbaarheid, belt het besmette slimme apparaat terug naar een command-and-control-server. De nieuwste versies van het botnet vertrouwen op een veerkrachtige opzet van meerdere primaire domeinen, zoals conn.elbbird.zip En conn.f12screenshot.xyzondersteund door reserve-IP-adressen. Het botnet stelt een ontvangsttime-out van 60 seconden in op de socket en wacht op een gevalideerde gecodeerde payload. Het verwijdert ongeldige payloads volledig.
De gekaapte IoT-eindpunten reageren met hun architectuurtype en het hardgecodeerde versienummer 1.04, en zetten vervolgens de netwerkoverstromingen in. Afhankelijk van de gehele lengte van de payload variëren de aanvallen van standaard TCP- en UDP-floods tot Generic Routing Encapsulation en Remote Desktop Protocol-flooding. De exploit-payloads gebruiken ook een unieke user-agent-ID met het label majestueus.
De operators hebben deze dreiging opgebouwd om onder de radar van militaire of federale vergeldingsmaatregelen te blijven. Uit Trellix-analyse blijkt dat de malware een IP-adres-blokkeerlijstfilter gebruikt om expliciet militaire, federale en educatieve netwerken te vermijden.
Door doelen als het Amerikaanse ministerie van Defensie te vermijden, voorkomen de operators dat er een gecoördineerde internationale wetshandhavingsreactie ontstaat. Deze berekende terughoudendheid zorgt ervoor dat het botnet blijft functioneren als een winstgevend commercieel instrument gericht op particuliere bedrijfsnetwerken, waardoor OT-directeuren de operationele en financiële gevolgen van onbeveiligde IoT-vloten op zich moeten nemen.
Zie ook: Hoe digitale tweelingen de werking van industriële machines veranderen
Wilt u meer leren over het IoT van marktleiders? Bekijk IoT Tech Expo die plaatsvindt in Amsterdam, Californië en Londen. Het uitgebreide evenement maakt deel uit van TechEx en vindt plaats op dezelfde locatie als andere toonaangevende technologie-evenementen, waaronder AI & Big Data Expo en de Cyber Security Expo. Klik hier voor meer informatie.
IoT News wordt mogelijk gemaakt door TechForge Media. Ontdek hier andere aankomende zakelijke technologie-evenementen en webinars.
