Botnet Aisuru: candidata per un DDoS da record

Segui le ultime news live sui server gaming colpiti da attacchi DDoS, leak di dati e mod exploit.
Scopri come i professionisti del settore gaming rafforzano la cybersecurity per proteggere reti e giocatori.

introduzione

Il più grande e distruttivo botnet al mondo attinge ora la maggior parte della sua potenza da dispositivi Internet-of-Things (IoT) compromessi ospitati presso provider statunitensi come AT&T, Comcast e Verizon, secondo nuove evidenze. L’elevata concentrazione di dispositivi infetti presso questi provider sta complicando gli sforzi per limitare i danni collaterali degli attacchi DDoS: questa settimana il botnet ha superato il record precedente con un’ondata di traffico che ha raggiunto quasi 29,6 terabit al secondo.

Diffusione e impatto globale

Dalla sua comparsa oltre un anno fa, il botnet Aisuru ha progressivamente soppiantato la maggior parte degli altri botnet IoT. Attacchi recenti hanno drenato larghezza di banda da circa 300.000 host compromessi nel mondo.

I dispositivi violati che vengono integrati nel botnet sono per lo più:

• router consumer,

• telecamere di sorveglianza,

• DVR,

• altri dispositivi con firmware vulnerabile, non aggiornato o con credenziali di fabbrica.

I proprietari di Aisuru scansionano continuamente Internet alla ricerca di dispositivi vulnerabili da includere nella rete, lanciando poi attacchi DDoS in grado di sopraffare i server target con enormi volumi di traffico.

Cronologia dei record di traffico

• Maggio 2025: attacco a KrebsOnSecurity da ~6,35 Tbps (all’epoca il massimo mitigato da Google Project Shield).

• Giorni successivi: picchi oltre 11 Tbps.

• Fine settembre 2025: capacità pubbliche superiori a 22 Tbps.

• 6 ottobre 2025: ondata misurata a 29,6 Tbps indirizzata a un host predisposto per test DDoS (durata: pochi secondi).

L’ondata del 6 ottobre sembrava una dimostrazione di forza: diretta a un server predisposto per misurare attacchi su larga scala, è passata quasi inosservata al pubblico.

 

Obiettivi e conseguenze operative

Gli attacchi si sono spesso concentrati su host di gaming, in particolare server Minecraft, e su infrastrutture che servono comunità di gioco. Le ondate di pacchetti provocano:

• interruzioni di connettività per i giocatori,

• degradazione del servizio per gli ISP,

• difficoltà tecniche e costi crescenti per la mitigazione.

Tracce recenti degli attacchi sono visibili su siti di monitoraggio uptime (es. blockgametracker.gg), che mostrano downtime e picchi associati alle campagne Aisuru (es. eventi del 28 settembre).

Problema specifico per gli ISP: traffico outbound da clienti infetti

I clienti di AT&T sono risultati tra i maggiori bot statunitensi durante gli attacchi, seguiti da sistemi infetti su Charter (Spectrum), Comcast, T-Mobile e altri. Roland Dobbins (Netscout) avverte che, pur avendo mitigazioni per attacchi inbound, molti ISP non sono preparati ad affrontare il degrado di servizio causato da grandi numeri di clienti che generano traffico DDoS in uscita.

«Gli attacchi outbound e cross-bound DDoS possono essere altrettanto dirompenti quanto quelli inbound» — Roland Dobbins, Netscout.

Origini: eredità di Mirai

Aisuru deriva dal codice sorgente di Mirai trapelato nel 2016. Come Mirai, Aisuru ha rapidamente dominato lo scenario dei botnet DDoS, ma con capacità e modelli operativi modernizzati. I creatori di Mirai usarono il botnet per attacchi massicci (es. 620 Gbps nel 2016) e per ricavare profitti offrendo servizi di protezione fasulli o affittando porzioni del botnet.

A differenza dell’epoca Mirai, Aisuru sembra offrire anche proxy residenziali su base commerciale, permettendo a clienti criminali di occultare traffico malevolo come proveniente da utenti legittimi negli USA.

Leggi l’articolo sull’analisi della botnet Mirai e Qbot https://www.hackerpunk.it/blog/come-una-botnet-mirai-violazione/

Diffusione rapida e vettori di espansione

Aisuru è sospettato di sfruttare molteplici vulnerabilità zero-day nei dispositivi IoT. Secondo XLab, uno dei botmaster avrebbe compromesso un server di aggiornamento firmware Totolink nell’aprile 2025, impiantando script malevoli che hanno accelerato l’espansione del botnet fino a ~300.000 nodi.

La rimozione forzata di un botnet concorrente (Rapper Bot) ad opera delle autorità ha inoltre fornito a Aisuru un’opportunità: i dispositivi liberati dall’operazione sono stati rapidamente riassorbiti da Aisuru.

Organizzazione e botmaster (report XLab)

Secondo fonti citate da XLab, Aisuru sarebbe gestito da tre operatori:

• “Snow” — sviluppo del botnet;

• “Tom” — ricerca vulnerabilità;

• “Forky” — vendite e commercializzazione.

Alcune connessioni e alias (es. l’handle Telegram 9gigsofram) suggeriscono legami con attori e servizi storicamente legati al mercato DDoS-for-hire.

Costi e difficoltà di mitigazione

Gli esperti stimano che gestire capacità di rete contro attacchi di questa scala stia diventando estremamente costoso. Coelho (ex-Proxypipe) ha affermato che oggi servono investimenti significativi (anche oltre il milione di dollari al mese) solo per disporre di capacità di rete adeguata alla mitigazione su larga scala.

Come difendersi: checklist operativa

• Aggiornare subito firmware di router e dispositivi IoT.

• Disabilitare credenziali di fabbrica e applicare password robuste.

• Segmentare reti e limitare traffico outbound con rate limiting.

• Implementare filtri anti-spoofing e BGP filtering a livello ISP.

• Abilitare logging avanzato e rilevamento comportamentale per traffico in uscita.

• Collaborare con CERT, vendor e ISP per patch e blocchi su livelli di distribuzione firmware.

Seguici anche su:

@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOKhttps://amzn.to/48exAdf
@EBOOK (English version)https://amzn.to/4fflbbv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ