Microsoft reveló el lunes que detectó y neutralizó automáticamente un ataque de denegación de servicio distribuido (DDoS) dirigido a un único punto final en Australia que midió 15,72 terabits por segundo (Tbps) y casi 3,64 mil millones de paquetes por segundo (pps).
El gigante tecnológico dijo que se trataba del mayor ataque DDoS jamás observado en la nube y que se originó a partir de una Internet de las cosas de clase TurboMirai (una botnet de IoT conocida como AISURU. Por el momento se desconoce quién fue el objetivo del ataque.
«El ataque implicó inundaciones UDP de tasa extremadamente alta dirigidas a una dirección IP pública específica, lanzadas desde más de 500.000 IP de origen en varias regiones», dijo Sean Whalen de Microsoft. dicho.
«Estas explosiones repentinas de UDP tuvieron una suplantación de origen mínima y utilizaron puertos de origen aleatorios, lo que ayudó a simplificar el rastreo y facilitó la aplicación de la ley por parte de los proveedores».
Según datos de QiAnXin XLab, la botnet AISURU es motorizado por casi 300.000 dispositivos infectados, la mayoría de los cuales son enrutadores, cámaras de seguridad y sistemas DVR. Se le ha atribuido algunos de los mayores ataques DDoS registrados hasta la fecha. En un informe publicado el mes pasado, NETSCOUT clasificado la botnet de alquiler de DDoS opera con una clientela restringida.
«Según se informa, los operadores han implementado medidas preventivas para evitar atacar propiedades gubernamentales, policiales, militares y otras propiedades de seguridad nacional», dijo la compañía. «La mayoría de los ataques de Aisuru observados hasta la fecha parecen estar relacionados con los juegos en línea».
Las botnets como AISURU también permiten funciones de usos múltiples, que van más allá de los ataques DDoS que superan los 20 Tbps para facilitar otras actividades ilícitas como el relleno de credenciales, el web scraping impulsado por inteligencia artificial (IA), el spam y el phishing. AISURU también incorpora un servicio de proxy residencial.
«Los atacantes están escalando con la propia Internet. A medida que aumentan las velocidades de fibra hasta el hogar y los dispositivos IoT se vuelven más potentes, la base para el tamaño del ataque sigue aumentando», dijo Microsoft.
La divulgación viene como NETSCOUT detallado otra botnet TurboMirai llamada once11 (también conocido como RapperBot) que se estima que lanzó alrededor de 3600 ataques DDoS impulsados por dispositivos IoT secuestrados entre finales de febrero y agosto de 2025, aproximadamente al mismo tiempo que las autoridades revelado un arresto y el desmantelamiento de la botnet.
Algunos de los servidores de comando y control (C2) asociados con la botnet están registrados con el dominio de nivel superior (TLD) «.libre», que forma parte de OpenNIC, una raíz DNS alternativa operada independientemente de la ICANN y ha sido adoptada por otras botnets DDoS como CatDDoS y Fodcha.
«Aunque es probable que la botnet haya quedado inoperable, los dispositivos comprometidos siguen siendo vulnerables», dijo. «Es probable que sea cuestión de tiempo hasta que los hosts sean secuestrados nuevamente y reclutados como nodos comprometidos para la próxima botnet».
Fuente