Botnet xlabs_v1 basado en Mirai ataca dispositivos con ADB abierto

Foto del autor

CyberSecureFox Editorial Team

Investigadores de Hunt.io han descubierto un nuevo botnet basado en Mirai, que se identifica como xlabs_v1 y explota dispositivos con el servicio Android Debug Bridge (ADB) expuesto en el puerto TCP 5555. Están en riesgo las TV Box Android TV, televisores Smart TV, reproductores multimedia y equipos IoT que se suministran con ADB activado por defecto. Según los investigadores, el botnet se ofrece como un servicio comercial para la realización de ataques DDoS, orientado principalmente a servidores de juegos y hosting de Minecraft. Se recomienda a los propietarios de cualquier dispositivo basado en Android con acceso de red al puerto 5555 desactivar ADB de inmediato o bloquear el puerto a nivel de cortafuegos.

Cómo se descubrió el botnet

Según se informa, Hunt.io identificó un directorio abierto en un servidor en los Países Bajos con la dirección 176.65.139[.]44, accesible sin ningún tipo de autenticación. El análisis de su contenido permitió reconstruir una imagen completa de la funcionalidad del malware, su infraestructura de mando y control y el modelo de negocio del operador.

Características técnicas del malware

Según los investigadores, xlabs_v1 admite 21 variantes de ataques de flooding sobre los protocolos TCP, UDP y a nivel de paquetes raw, incluido tráfico UDP que imita RakNet y OpenVPN. Se supone que esta diversidad de métodos permite eludir las medidas básicas de protección contra DDoS.

El malware se distribuye en varias formas:

  • Archivo Android APK (boot.apk)
  • Binarios estáticamente enlazados para las arquitecturas ARM, MIPS, x86-64 y ARC

La compatibilidad con múltiples arquitecturas indica que los objetivos no son solo dispositivos Android, sino también routers domésticos y otros equipos IoT. Según informa Hunt.io, el bot se entrega mediante comandos ADB shell que escriben en el directorio /data/local/tmp. La lista de nueve variantes de payload está optimizada para TV Box Android TV, reproductores multimedia, Smart TV y equipos IoT basados en ARM con ADB activado.

La gestión del botnet se realiza a través del panel del operador en el dominio xlabslover[.]lol, desde donde se envían las órdenes para generar tráfico basura contra los servidores objetivo.

Perfilado de ancho de banda y modelo de monetización

Una de las características más llamativas de xlabs_v1 es un mecanismo integrado de perfilado del ancho de banda de los dispositivos infectados. Según Hunt.io, este componente abre 8 192 conexiones TCP paralelas al servidor de Speedtest geográficamente más cercano, las somete a carga durante 10 segundos y envía la velocidad de transferencia de datos medida de vuelta al panel de control. Supuestamente, esto permite al operador clasificar los dispositivos infectados por categorías de precio para los clientes del servicio.

Un detalle importante: tras enviar los datos sobre el ancho de banda (en megabits por segundo), el bot se detiene. El malware no crea mecanismos de persistencia en el sistema: no se escribe en almacenes permanentes, no modifica scripts de inicialización, no crea units de systemd ni registra tareas cron. Esto significa que, para reutilizar el dispositivo, el operador debe volver a explotar la vulnerabilidad de ADB. Según la valoración de Hunt.io, este enfoque es deliberado: el operador considera el perfilado de ancho de banda como una operación poco frecuente de actualización de los datos sobre la «flota» de dispositivos.

Supresión de malware competidor

El botnet incluye un subsistema de eliminación de competidores que finaliza los procesos de otros malware presentes en el dispositivo infectado. El objetivo es monopolizar todo el ancho de banda saliente del dispositivo para sus propios ataques DDoS.

Infraestructura relacionada

Durante el análisis de la infraestructura adyacente en el host 176.65.139[.]42 se detectó un conjunto de herramientas para la minería de Monero, denominado VLTRig. Sin embargo, según señalan los investigadores, no se ha establecido un vínculo entre los operadores del botnet y esta actividad de minería.

Por separado, la empresa Darktrace informó de que una instancia de Jenkins intencionadamente mal configurada en su red trampa se convirtió en objetivo de atacantes desconocidos que desplegaron un botnet DDoS descargado desde el servidor 103.177.110[.]202. La presencia de técnicas de ataque específicas para la industria del videojuego confirma que el sector del gaming sigue siendo un objetivo prioritario para los operadores de botnets.

Evaluación del nivel de amenaza

Según la evaluación de Hunt.io, xlabs_v1 ocupa una posición intermedia dentro del ecosistema de servicios criminales de DDoS: es más complejo que los forks típicos de Mirai creados por atacantes novatos, pero queda por detrás de las principales plataformas comerciales de DDoS en cuanto a nivel técnico. Presumiblemente, el operador compite mediante el precio y la variedad de métodos de ataque, y no por sofisticación técnica.

Las principales categorías de dispositivos en riesgo son:

  • TV Box Android TV y reproductores multimedia
  • Televisores Smart TV
  • Routers domésticos
  • Dispositivos IoT basados en ARM
  • Cualquier equipo con ADB accesible desde la red

Indicadores de compromiso

  • Direcciones IP: 176.65.139[.]44, 176.65.139[.]42, 103.177.110[.]202
  • Dominio C2: xlabslover[.]lol

Recomendaciones de protección

  1. Desactive ADB en todos los dispositivos donde no se utilice para desarrollo. En Android TV y TV Box, esta opción suele encontrarse en la sección «Opciones para desarrolladores» de los ajustes del sistema.
  2. Bloquee el puerto TCP 5555 a nivel del router o del cortafuegos para conexiones entrantes desde internet. Verifique que el puerto no esté expuesto mediante NAT.
  3. Realice un escaneo de la red en busca de dispositivos con el puerto 5555 abierto con el comando: nmap -p 5555 --open <диапазон_сети>
  4. Compruebe los dispositivos IoT en busca de archivos sospechosos en el directorio /data/local/tmp.
  5. Añada las direcciones IP y el dominio indicados más arriba a las listas de bloqueo de sus soluciones de seguridad de red.
  6. Se recomienda a los operadores de servidores de juegos utilizar servicios especializados de protección DDoS capaces de filtrar tráfico por los protocolos RakNet y UDP.

La ausencia de un mecanismo de persistencia en xlabs_v1 es a la vez una debilidad y un indicador de su modelo operativo: cada reinicio del dispositivo elimina la infección, pero volver a explotarlo a través de un ADB expuesto es trivial. La única medida realmente fiable es cerrar por completo el puerto 5555 al acceso externo. Los propietarios de TV Box Android TV y dispositivos IoT deberían revisar hoy mismo la configuración de ADB y de su router, sin esperar a que aparezcan signos de compromiso.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio