Uma botnet com um nome exclusivo, Gayfemboy, está quebrando a tendência regular com variantes do Mirai para se tornar uma ameaça DDoS persistente.
Identificado pela primeira vez por pesquisadores de segurança cibernética da QiAnXin XLab em fevereiro de 2024, Gayfemboy confundiu os analistas com sua resiliência, rápida evolução e natureza agressiva. Ao contrário dos derivados transitórios do Mirai que poluem a paisagem, o Gayfemboy tornou-se um botnet sofisticado e de grande escala, capaz de explorar vulnerabilidades de dia zero (0-day) e lançar ataques ferozes.
Quando o Gayfemboy surgiu em fevereiro de 2024, parecia ser apenas mais um clone do Mirai. As amostras iniciais não eram dignas de nota, embaladas com um invólucro UPX padrão e sem inovação notável. Muitos o teriam descartado como mais um botnet passageiro e fadado ao desaparecimento. No entanto, nos meses seguintes, o Gayfemboy passou por um desenvolvimento iterativo agressivo para integrar novos recursos.
Em abril de 2024, seus desenvolvedores modificaram o shell UPX com um novo número mágico, “YTSx99”, e adotaram um pacote de registro personalizado denominado “gayfemboy”. Em meados de junho, a botnet avançou ainda mais, ajustando seu shell UPX e alcançando relativa estabilidade, com apenas alterações incrementais nos domínios de comando e controle (C2).
À medida que os investigadores continuavam a acompanhar o seu desenvolvimento, a equipa do XLab observou que o Gayfemboy se tornava cada vez mais inovador. Em novembro de 2024, a botnet avançou dramaticamente, explorando uma vulnerabilidade de dia 0 em roteadores industriais 4-Religion (posteriormente divulgados como CVE-2024-12856) – juntamente com vulnerabilidades aparentemente desconhecidas em roteadores Neterbit e dispositivos domésticos inteligentes Vimar – para expandir drasticamente sua infecção escala.
As capacidades e a agressividade do Gayfemboy tornaram-se evidentes quando os pesquisadores do XLab tentaram analisar sua escala registrando domínios C2 não reivindicados. Ao detectar as ações dos pesquisadores, os operadores de botnets lançaram ataques DDoS retaliatórios contra os domínios registrados – um movimento hostil que ressaltou a sofisticação e a tenacidade operacional do Gayfemboy.
A análise revelou que Gayfemboy é uma entidade ambiciosa e em rápida evolução. O XLab mediu mais de 15.000 nós ativos diários orquestrados sob o comando do botnet. Esses dispositivos comprometidos foram organizados em mais de 40 grupos separados, demonstrando um mecanismo avançado para gerenciar a extensa rede de dispositivos infectados da botnet.
Gayfemboy explora vulnerabilidades de dia 0 e dia N
Gayfemboy se destaca por usar uma combinação de mais de 20 vulnerabilidades junto com credenciais fracas de Telnet para comprometer dispositivos. Os operadores integram vulnerabilidades de N dias (brechas de segurança bem documentadas) e explorações de dia 0 para escalar sua botnet.
Vulnerabilidades não divulgadas afetaram dispositivos como as soluções domésticas inteligentes Vimar. Por razões éticas compreensíveis, os investigadores omitiram detalhes das vulnerabilidades não reveladas.)
O método de infecção varia de acordo com o dispositivo alvo. Os pesquisadores identificaram vários dispositivos infectados com base nas informações de agrupamento incorporadas nos dados da botnet. Isso permite que os invasores classifiquem e controlem com eficiência os nós infectados. Os alvos principais incluem:
- Roteadores ASUS, usando vulnerabilidades de N dias.
- Roteadores 4-Religion, violados by way of CVE-2024-12856.
- Roteadores Neterbit, detalhes metodológicos desconhecidos.
Chinaos EUA, o Irão, a Rússia e a Turquia são responsáveis pela maioria dos dispositivos comprometidos, embora as infecções do Gayfemboy também se espalhem por outras regiões.
Uma ameaça DDoS persistente
A verdadeira força do Gayfemboy reside na sua capacidade de lançar ataques DDoS devastadores. A partir de fevereiro de 2024, a botnet mudou o seu foco para ofensivas DDoS intermitentes, mas de alto impacto, que visam centenas de entidades diariamente.
Os analistas acompanharam um forte aumento na atividade por volta de outubro e novembro de 2024, afetando setores que vão desde telecomunicações para organizações governamentais. Geograficamente, os ataques atingiram principalmente entidades na China, nos EUA, na Alemanha, no Reino Unido e em Singapura.
Quando os pesquisadores do XLab usaram um servidor digital privado (VPS) de um provedor de nuvem para monitorar os domínios C2 do Gayfemboy, a botnet desencadeou ataques DDoS recorrentes contra o VPS.
Os ataques contra o VPS, que duraram entre 10 e 30 segundos, conseguiram torná-lo inacessível. Quando o provedor de nuvem detectou o comportamento, ele bloqueou o tráfego para o VPS por 24 horas – uma prova do poder de fogo substancial da botnet, com tráfego de ataque estimado em 100 GB.
Evolução do Gayfemboy
Apesar das funcionalidades avançadas do Gayfemboy, certos elementos do seu código destacam as raízes dos operadores no Mirai.
O bot mantém a estrutura de comando do Mirai, mas removeu sua tabela de strings de assinatura, substituiu strings de texto simples e adicionou novos recursos. Por exemplo:
- Os comandos permitem que os operadores iniciem ou interrompam varreduras, eliminem ataques ativos ou atualizem o próprio bot.
- Após a execução, o bot exibe “nós fomos agoran” — uma linha que persistiu em todas as iterações.
Uma característica peculiar é a tentativa do Gayfemboy de se esconder explorando diretórios graváveis. Na inicialização, o bot procura caminhos graváveis, grava um arquivo de teste e o exclui. Se for bem-sucedido, ele monta o diretório em `/proc/
A incorporação de novos comandos operacionais pelo Gayfemboy permite que invasores lancem campanhas DDoS, baixem cargas maliciosas e iniciem operações de varredura – tudo com precisão clara e atualizações consistentes.
Com acessibilidade crescente e custos baixos, botnets distribuídos como o Gayfemboy demonstram com que facilidade os atores mal-intencionados podem evoluir continuamente à medida que integram novas vulnerabilidades e métodos. A abordagem sofisticada do Gayfemboy, desde a exploração de dias 0 até ataques estratégicos de retaliação, reflete uma escalada mais ampla nas capacidades das botnets modernas.
(Foto por Marek Piwnicki)
Veja também: Eseye: Os desafios de conectividade e segurança da IoT persistem
Quer aprender sobre a IoT com os líderes do setor? Confira Exposição de tecnologia IoT acontecendo em Amsterdã, Califórnia e Londres. O evento abrangente é co-localizado com outros eventos importantes, incluindo Segurança cibernética e exposição de nuvem, Expo IA e Large Information, Conferência de Automação Inteligente, Exposição de Computação de Bordae Semana da Transformação Digital.
Discover outros futuros eventos de tecnologia empresarial e webinars desenvolvidos pela TechForge aqui.