xlabs_v1-Botnet legt Minecraft-Server lahm

Sicherheitsforscher entdeckten die Schadsoftware Anfang Mai 2026. Sie ist speziell für DDoS-Angriffe auf die beliebten Spielserver konstruiert. Dahinter steckt ein kommerzieller Dienst, der unter dem Pseudonym „Tadashi" betrieben wird.

Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert – ohne es zu wissen. Experten verraten, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. 5 einfache Schritte für ein sicheres Android-Smartphone

Die Entdeckung fiel mit weiteren schwerwiegenden Sicherheitsvorfällen zusammen – darunter gekaperte Entwicklungsinfrastruktur und Rekordangriffe mit nie dagewesenen Paketraten. Analysten sehen die Spieleindustrie als bevorzugtes Testfeld für neue Botnet-Technologien. Der Grund: Selbst kleinste Latenzspitzen machen Gaming-Datenverkehr sofort spürbar.

Wie das Botnetzwerk funktioniert

Erstmals fiel „xlabs_v1" den Sicherheitsexperten Anfang April 2026 auf. Ein offen zugängliches Verzeichnis auf einem Server in den Niederlagen ermöglichte die Entschlüsselung der Malware. Das Botnet nutzt vor allem Android-Geräte mit offenem Android Debug Bridge (ADB)-Port. Aktuelle Netzwerkscans zeigen: Über vier Millionen Geräte sind derzeit verwundbar – darunter Smart-TVs, Android-TV-Boxen und Router.

Die technische Analyse offenbart 21 verschiedene Netzwerk-Flooding-Varianten. Besonders tückisch: Spezielle RakNet-Floods, die gezielt das Kommunikationsprotokoll von Minecraft-Servern stören. Auch OpenVPN-getarnte UDP-Floods kommen zum Einsatz, die legitimen Datenverkehr imitieren und Standardfilter umgehen.

Eine besondere Raffinesse: Die Malware verfügt über eine integrierte Bandbreitenmessung. Nach der Infektion baut sie 8.192 parallele Verbindungen zu einem Speedtest-Server auf, um die Upload-Kapazität des gekaperten Geräts zu ermitteln. So kann der Betreiber leistungsstarke Knoten für intensive Angriffe priorisieren.

Die Kommandozentrale des Botnets läuft auf einem sogenannten „bulletproof"-Netzwerk mit einer .lol-Domain. Zwar verschlüsselt die Malware ihre internen Daten mit ChaCha20, doch die Wiederverwendung des Schlüssels ermöglichte die Enttarnung des Betreibers „Tadashi".

Jenkins-Server als Einfallstor

Parallel zu „xlabs_v1" deckten Sicherheitsfirmen wie Darktrace eine weitere Kampagne auf. Diese nutzt falsch konfigurierte Jenkins-Server – beliebte Automatisierungstools in der Softwareentwicklung. Ziel waren Server der Valve Source Engine (Counter-Strike, Team Fortress 2) sowie Minecraft-Plattformen.

Die Angreifer verschafften sich Zugriff über die „scriptText"-Schnittstelle von Jenkins. Durch bösartige Groovy-Skripte erlangten sie Kontrolle über Windows- und Linux-Systeme. Auf Windows-Rechnern tarnte sich die Schadsoftware „w.exe" als legitimer Systemprozess, Linux-Systeme infizierte die Binärdatei „bot_x64.exe".

Die Angriffe ließen sich auf eine einzelne IP-Adresse in Vietnam zurückverfolgen. Das Botnet unterstützt verschiedene Flooding-Techniken – von großen UDP-Paketen zur Bandbreitenauslastung bis zu kleinen Paketen für maximale Paketraten.

Rekordverdächtige Angriffswellen

Die neuen Botnets setzen einen Trend fort: Im späten Jahr 2024 wehrte die australische Firma Global Secure Layer einen Angriff auf einen Minecraft-Kunden ab. Die Spitzenpaketrate erreichte 3,15 Milliarden Pakete pro Sekunde – mehr als das Dreifache aller bisherigen Rekorde.

Analysten beobachten eine Verschiebung hin zu „Carpet-Bombing"-Taktiken. Statt einzelner IP-Adressen werden ganze Subnetze geflutet, um traditionelle Erkennungsmechanismen zu umgehen. Die Spieleindustrie verzeichnet das stärkste Wachstum bei DDoS-Angriffen – einige Berichte sprechen von einem Anstieg um 83 Prozent im Jahresvergleich.

Da über vier Millionen Android-Geräte bereits für Botnet-Angriffe missbraucht werden, ist ein proaktiver Schutz der eigenen Hardware unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät sofort gegen Hacker und Datenmissbrauch absichern. Gratis-PDF: 5 Schutzmaßnahmen für Android-Smartphones herunterladen

Auch die Botnets selbst werden mächtiger: Die durchschnittliche Anzahl infizierter Geräte stieg im ersten Quartal 2024 von 4.000 auf 20.000 – eine Fünffachung. Diese Netzwerke ermöglichen „Burst-Angriffe": Nur wenige Stunden dauernde, aber extrem intensive Attacken, die schwer von normalen Verkehrsspitzen zu unterscheiden sind.

Verwundbarkeiten im Minecraft-Ökosystem

Die Minecraft-Community ist nicht nur durch Netzwerkangriffe bedroht. Die Kampagne „Fracturiser" infizierte tausende Nutzer über manipulierte Mods auf Plattformen wie CurseForge und Bukkit. Die mehrstufige Malware stahl Zugangsdaten, Cookies und Kryptowährungen.

Das „Stargazers Ghost Network" – ein sogenannter Distribution-as-a-Service-Anbieter – nutzte über 3.000 gefälschte GitHub-Konten, um Infostealer zu verbreiten. Durch künstlich aufgeblähte GitHub-Sterne gewannen die Profile an Glaubwürdigkeit. Die Java-basierten Minecraft-Mods enthielten einen Downloader, der nur bei installierter Minecraft-Laufzeitumgebung aktiv wurde.

Aktuelle Entwicklungen zeigen eine Integration dieser Verteilungsinfrastruktur mit DDoS-Kapazitäten. Die Spezialisierung auf RakNet-Floods macht „xlabs_v1" zu einer neuen Generation von Gaming-Bedrohungen.

Schutzmaßnahmen für Serverbetreiber

Sicherheitsexperten empfehlen Minecraft-Serveradministratoren den Einsatz spezialisierter DDoS-Schutzplattformen mit Filtern für Gaming-Protokolle. Lösungen wie die „Goliath"-Plattform haben sich bei der automatischen Abwehr von Multi-Gigabit-Angriffen bewährt.

Die Verwundbarkeit durch offene ADB-Ports und falsch konfigurierte Jenkins-Endpunkte zeigt: Grundlegende Sicherheitshygiene bleibt entscheidend. Das Schließen unnötiger Ports, starke Authentifizierung für Entwicklungstools und die Überwachung ungewöhnlicher Bandbreitenspitzen bei IoT-Geräten sind unverzichtbar. Angesichts der wachsenden Bedrohungslage setzt die Branche zunehmend auf automatisierte Echtzeit-Abwehr.

de | wissenschaft | 69278384 |