.png)
Botnet Mirai tidak pernah benar-benar mati. Tetapi mengalami evolusi mengikuti permukaan serangan baru yang dianggap normal oleh pengguna rumahan. Pada kasus xlabs_v1, evolusi tersebut terlihat jelas: operator tidak lagi fokus pada DVR murah atau router lawas seperti generasi Mirai awal, tetapi mulai memonetisasi ekosistem Android dan IoT modern yang secara tidak sadar mengekspos Android Debug Bridge (ADB) ke internet melalui TCP/5555.
Baca Juga Tentang: Apa itu Mirai Botnet?
Permasalahan utamanya bukan hanya keberadaan ADB yang terbuka. Banyak vendor Android TV box, STB, smart TV, dan firmware IoT murah mengirim perangkat dengan debugging aktif secara default atau dengan implementasi ADB yang lemah. Dalam praktiknya, perangkat ini sering berada di belakang NAT rumah tangga dengan bandwidth besar seperti fiber 100–500 Mbps. Dari perspektif operator DDoS-for-hire, perangkat seperti ini jauh lebih bernilai dibanding router DSL era lama karena throughput upstream jauh lebih tinggi dan uptime cenderung stabil.
Baca Juga Tentang: Android Debug Bridge
xlabs_v1 memanfaatkan kondisi tersebut secara agresif. Begitu menemukan host dengan TCP/5555 terbuka, operator mengirim payload shell sederhana melalui ADB untuk menurunkan binary bot sesuai arsitektur target. Ini menjelaskan mengapa mereka menyediakan build ARM, MIPS, PowerPC, hingga x86-64. Strategi multi-arsitektur seperti ini merupakan karakteristik khas ekosistem Mirai modern: tujuan utamanya bukan sophistication, tetapi coverage maksimal terhadap fragmentasi perangkat IoT.
Baca Juga Tentang: ELF (Executable and Linkable Format) Binary
Yang menarik, bot ini tidak didesain sebagai malware multifungsi. Tidak ada credential theft, ransomware, ataupun spyware. Secara operasional, seluruh arsitektur diarahkan untuk satu tujuan komersial: menghasilkan trafik DDoS yang dapat dijual. Dari sisi tradecraft kriminal, keputusan ini masuk akal. Menambahkan fitur pencurian data hanya meningkatkan noise, forensic footprint, dan risiko deteksi tanpa meningkatkan profit utama operator.
Secara teknis, salah satu indikator bahwa operasi ini bersifat komersial adalah adanya bandwidth profiling subsystem. Ketika menerima opcode tertentu dari C2, bot membuka 8.192 koneksi TCP paralel ke server Speedtest terdekat dan mengukur throughput upstream selama sekitar 10 detik. Hasil Mbps kemudian dikirim kembali ke panel operator.
Ini bukan sekadar fitur diagnostik. Ini adalah mekanisme pricing engine. Operator mengelompokkan bot berdasarkan kapasitas bandwidth sehingga Android TV box dengan koneksi fiber 500 Mbps memiliki “nilai sewa” lebih tinggi dibanding perangkat DSL 20 Mbps. Dalam konteks underground DDoS market, ini menunjukkan xlabs_v1 diperlakukan layaknya inventory komersial, bukan sekadar malware eksperimental.
Arsitektur command-and-control mereka juga cukup menarik. Banyak botnet kecil masih menggunakan komunikasi plaintext sederhana tanpa redundansi. xlabs_v1 sedikit lebih matang. Mereka menggunakan OpenNIC-aware DNS resolution sebelum fallback ke resolver sistem biasa. Artinya, ketika domain .lol diblokir resolver ICANN normal, bot masih bisa mendapatkan resolusi melalui root alternatif OpenNIC.
Baca Juga Tentang: DNS (Domain Name System) Abuse
Selain itu, ketika outbound C2 gagal, bot membuka listener fallback pada TCP/26721 dan menambahkan aturan iptables untuk memastikan port tersebut tetap dapat diakses. Secara praktis, ini mengubah korban menjadi semacam reverse-entry node yang bisa diakses operator kapan saja. Ini bukan persistence tradisional seperti systemd service atau cronjob, tetapi persistence berbasis reinfection dan re-entry network path.
Di sinilah implikasi defensifnya menjadi lebih serius. Banyak organisasi menganggap reboot perangkat IoT sudah cukup untuk membersihkan malware volatile. Pada xlabs_v1, asumsi itu tidak selalu efektif. Jika ADB masih terekspos, operator dapat menginfeksi ulang perangkat dalam hitungan menit menggunakan automation script yang sama.
Dari sisi exploit chain, mekanismenya sebenarnya cukup sederhana tetapi efektif karena memanfaatkan miskonfigurasi massal. Skenario realistisnya seperti berikut:
Seorang pengguna rumahan membeli Android TV box murah yang secara default mengaktifkan ADB over TCP. Perangkat tersebut terhubung langsung ke ISP fiber rumahan tanpa firewall inbound yang memadai. Operator botnet melakukan scanning internet untuk TCP/5555 terbuka, kemudian mengirim payload shell melalui ADB yang men-download binary ARM7 ke /data/local/tmp/arm7, mengubah permission menjadi executable, lalu menjalankannya secara background.
Begitu aktif, bot akan:
-
menyamarkan proses menjadi
/bin/bash, - mematikan proses malware pesaing,
- melakukan registrasi ke C2,
- melaporkan resource sistem,
- menunggu opcode serangan.
Ketika pelanggan DDoS-for-hire memesan serangan terhadap server Minecraft, operator cukup mengirim opcode flood tertentu ke seluruh bot aktif. Karena banyak perangkat korban berada di jaringan fiber rumahan dengan bandwidth besar, total flood traffic yang dihasilkan bisa sangat signifikan.
Baca Juga Tentang: Mekanisme Layer 7 DDoS
Fokus terhadap Minecraft dan game server bukan kebetulan. xlabs_v1 memiliki implementasi flood berbasis RakNet serta varian UDP yang dirancang menyerupai trafik OpenVPN untuk melewati mitigasi DDoS consumer-grade. Ini menunjukkan operator memahami pola filtering umum yang digunakan hosting murah dan proteksi anti-DDoS entry-level.
Secara arsitektural, pendekatan ini lebih dekat ke “application-aware DDoS tooling” dibanding Mirai klasik yang hanya mengandalkan SYN flood generik. Bahkan terdapat raw TCP variant yang menggunakan template HTTP tertentu untuk melewati proteksi Layer-7 sederhana.
Ada detail lain yang cukup penting bagi defender: subsystem pembunuh kompetitor. Bot melakukan enumerasi /proc/, mencari proses lain yang memegang socket aktif, lalu melakukan SIGSTOP dan SIGKILL. Mereka bahkan secara spesifik menargetkan port TCP/24936 yang diasosiasikan dengan rival botnet tertentu.
Ini menunjukkan ekosistem botnet IoT saat ini tidak hanya tentang menyerang korban akhir, tetapi juga perang antar operator malware untuk memperebutkan bandwidth perangkat yang sama. Dalam praktik incident response, hilangnya proses pada port tertentu secara mendadak setelah aktivitas ADB mencurigakan dapat menjadi indikator kompromi xlabs_v1.
Walaupun operator mencoba menerapkan obfuscation menggunakan ChaCha20 string table, implementasinya lemah. Mereka menggunakan nonce reuse dan key reuse yang memungkinkan peneliti melakukan recovery string melalui known-plaintext analysis. Dari sinilah identitas seperti xlabs_v1, Tadashi, hingga authentication token berhasil dipulihkan.
Baca Juga Tentang: Reverse Engineering Malware
Kesalahan desain semacam ini sering terjadi pada malware “mid-tier”. Operator memahami konsep cryptography tetapi gagal menerapkannya dengan benar. Ini juga terlihat dari fakta bahwa development build non-stripped sempat terekspos di staging server publik bersama payload, proxy credentials, dan target list.
Dalam dunia operasi malware profesional, kesalahan operational security seperti ini sangat mahal karena memungkinkan peneliti memetakan keseluruhan infrastruktur hanya dari satu exposed directory listing.
Konteks yang lebih luas dari kasus ini sebenarnya berkaitan dengan industrialisasi DDoS-as-a-Service berbasis IoT. Dulu, botnet IoT identik dengan perangkat murah berbandwidth rendah. Sekarang, perangkat Android dan smart home berbasis fiber menjadi “high-bandwidth commodity nodes”. Perubahan ini membuat kapasitas serangan meningkat drastis tanpa perlu kompromi server enterprise.
Bagi pentester dan security engineer, ada beberapa insight defensif penting dari operasi xlabs_v1:
Pertama, ADB over TCP seharusnya diperlakukan seperti remote shell exposure, bukan sekadar fitur debugging. Banyak organisasi masih menganggap TCP/5555 berisiko rendah dibanding SSH atau RDP, padahal secara praktis ia memberikan remote execution path penuh.
Kedua, monitoring outbound traffic jauh lebih penting dibanding hanya inbound detection. Botnet ini menggunakan komunikasi plaintext TCP/35342 dan melakukan koneksi abnormal besar ke Speedtest infrastructure. Aktivitas seperti ribuan koneksi simultan ke domain speedtest merupakan behavioral IOC yang jauh lebih stabil dibanding hash file.
Ketiga, environment IoT dan Android enterprise perlu visibility terhadap proses ephemeral. xlabs_v1 sengaja menghapus jejak argv dan melakukan masquerade /bin/bash agar lolos inspeksi administratif sederhana. Defender yang hanya mengandalkan ps aux berpotensi melewatkan proses aktif.
Mitigasi paling efektif tetap berada di layer exposure reduction. Nonaktifkan ADB over TCP jika tidak diperlukan, blok akses inbound TCP/5555 dari internet, segmentasikan perangkat IoT dari jaringan utama, dan monitor perangkat Android embedded seperti smart TV atau STB sebagaimana endpoint biasa.
Baca Juga Tentang: Threat Hunting
Kasus xlabs_v1 mengingatkan bahwa batas antara “consumer electronics” dan “attack infrastructure” kini semakin tipis. Dalam banyak rumah dan kantor kecil, Android TV box murah sebenarnya sudah memiliki bandwidth yang cukup untuk menjadi node DDoS bernilai tinggi. Operator botnet memahami hal itu jauh lebih cepat dibanding sebagian besar pengguna maupun vendor perangkat.
Benediktus Sava – Security Researcher
Sumber:
