Microsoft anunció el lunes que detectó y neutralizó automáticamente un ataque de denegación de servicio distribuido (DDoS) dirigido a un único punto final en Australia y midió 15,72 terabits por segundo (Tbps) y casi 3,64 mil millones de paquetes por segundo (pps).
El gigante tecnológico dijo que se trataba del mayor ataque DDoS jamás visto en la nube y que fue llevado a cabo por una botnet de Internet de las cosas (IoT) de clase TurboMirai llamada ” AISURU. Hasta el momento se desconoce quién fue el objetivo del ataque.
“El ataque implicó inundaciones UDP de velocidad extremadamente alta que tenían como objetivo una dirección IP pública específica y se lanzaron desde más de 500.000 IP de origen en varias regiones”, dijo Sean Whalen de Microsoft.
“Estas ráfagas repentinas de UDP tuvieron una suplantación de origen mínima y utilizaron puertos de origen aleatorios, lo que ayudó a simplificar la trazabilidad y facilitar la aplicación de la ley por parte de los proveedores”.
Según QiAnXin XLab, la botnet AISURU es operada por casi 300.000 dispositivos infectados, la mayoría de los cuales son enrutadores, cámaras de seguridad y sistemas DVR. Se le ha atribuido algunos de los mayores ataques DDoS hasta la fecha. En un informe publicado el mes pasado, NETSCOUT clasificó la botnet de alquiler DDoS como una que opera con una clientela limitada.
“Según se informa, los operadores han tomado medidas preventivas para evitar ataques al gobierno, las fuerzas del orden, el ejército y otros objetos de seguridad nacional”, dijo la compañía. “La mayoría de los ataques AISURU observados hasta ahora parecen estar relacionados con los juegos en línea”.
Las botnets como AISURU también permiten capacidades multipropósito que van más allá de los ataques DDoS de más de 20 Tbit/s y permiten otras actividades ilegales como el relleno de credenciales, el web scraping impulsado por inteligencia artificial (IA), el spam y el phishing. AISURU también incluye un servicio de proxy residencial.
“Los atacantes están creciendo con la propia Internet. A medida que aumentan las velocidades de fibra hasta el hogar y los dispositivos IoT se vuelven más potentes, la base para el tamaño del ataque continúa aumentando”, dijo Microsoft.
La revelación se produce cuando NETSCOUT detalla otra botnet TurboMirai llamada Eleven11 (también conocida como RapperBot), que se estima que lanzó aproximadamente 3.600 ataques DDoS utilizando dispositivos IoT secuestrados entre finales de febrero y agosto de 2025, aproximadamente al mismo tiempo que las autoridades anunciaron el arresto y el desmantelamiento de la botnet.
Algunos de los servidores de comando y control (C2) asociados con la botnet están registrados con el dominio de nivel superior (TLD) “.libre”, que forma parte de OpenNIC, una raíz DNS alternativa operada independientemente de la ICANN y que ha sido adoptada por otras botnets DDoS como CatDDoS y Fodcha.
“Aunque es probable que la botnet ya no funcione, los dispositivos comprometidos siguen siendo vulnerables”, dijo. “Es probable que sea cuestión de tiempo antes de que los hosts sean secuestrados nuevamente y reclutados como un centro comprometido para la próxima botnet”.
About The Author
