La botnet más grande y disruptiva del mundo ahora está obteniendo la mayoría de su poder de fuego de dispositivos IoT (Internet de las Cosas) comprometidos alojados en proveedores de Internet (ISP) estadounidenses como AT&T, Comcast y Verizon, sugieren nuevas evidencias. Los expertos dicen que la fuerte concentración de dispositivos infectados en proveedores estadounidenses está complicando los esfuerzos para limitar el daño colateral de los ataques de la botnet, que rompió récords previos esta semana con una breve inundación de tráfico que alcanzó casi 30 billones de bits de datos por segundo.

El ascenso imparable de Aisuru

Desde su debut hace más de un año, la botnet Aisuru ha superado constantemente a prácticamente todas las demás botnets basadas en IoT en el mundo, con ataques recientes que extraen ancho de banda de Internet de un estimado de 300,000 hosts comprometidos a nivel mundial.

Los sistemas hackeados que son absorbidos por la botnet son principalmente routers de grado consumidor, cámaras de seguridad, grabadores de video digital y otros dispositivos que operan con firmware inseguro y desactualizado, y/o configuraciones de fábrica por defecto. Los propietarios de Aisuru escanean continuamente Internet en busca de estos dispositivos vulnerables y los esclavizan para su uso en ataques de denegación de servicio distribuido (DDoS) que pueden abrumar servidores objetivo con cantidades paralizantes de tráfico basura.

Escalada exponencial de ataques

A medida que el tamaño de Aisuru ha crecido explosivamente, también lo ha hecho su impacto. En mayo de 2025, KrebsOnSecurity fue atacado con un récord cercano de 6.35 terabits por segundo (Tbps) desde Aisuru, que entonces fue el asalto más grande que el servicio de protección DDoS de Google Project Shield había mitigado jamás. Días después, Aisuru rompió ese récord con una explosión de datos que superó los 11 Tbps.

Para finales de septiembre, Aisuru estaba mostrando públicamente capacidades DDoS superiores a 22 Tbps. Luego, el 6 de octubre, sus operadores lanzaron un impresionante 29.6 terabits de paquetes de datos basura por segundo hacia un host objetivo. Casi nadie lo notó porque parece haber sido una prueba breve o demostración de las capacidades de Aisuru: la inundación de tráfico duró solo unos pocos segundos y apuntó a un servidor de Internet específicamente diseñado para medir ataques DDoS a gran escala.

Devastación en la industria gaming

Los señores de Aisuru no solo se están exhibiendo. Su botnet está siendo culpada por una serie de ataques cada vez más masivos y disruptivos. Aunque los asaltos recientes de Aisuru han apuntado principalmente a ISPs que sirven comunidades de juegos en línea como Minecraft, esos asedios digitales a menudo resultan en una disrupción generalizada de Internet colateral.

Durante las últimas semanas, los proveedores que alojan algunos de los destinos de gaming más importantes de Internet han sido golpeados con una andanada implacable de ataques gigantescos que los expertos afirman están muy por encima de las capacidades de mitigación DDoS de la mayoría de las organizaciones conectadas a Internet en la actualidad.

Steven Ferguson, ingeniero principal de seguridad en Global Secure Layer (GSL), un ISP en Brisbane, Australia, cuya empresa aloja TCPShield que ofrece protección DDoS gratuita o de bajo costo a más de 50,000 servidores Minecraft en todo el mundo, contó que el 8 de octubre, TCPShield fue golpeado con una ofensiva de Aisuru que inundó su red con más de 15 terabits de datos basura por segundo.

Ferguson dijo que después de que el ataque cesó, TCPShield fue informado por su proveedor upstream OVH que ya no eran bienvenidos como clientes. «Esto estaba causando serias congestiones en sus puertos externos de Miami durante varias semanas, mostrado públicamente a través de su mapa del tiempo», explicó Ferguson, quien añadió que TCPShield ahora está protegido únicamente por GSL.

Los rastros de la reciente oleada de ataques paralizantes de Aisuru sobre servidores de gaming todavía pueden verse en el sitio web blockgametracker.gg, que indexa el tiempo de actividad e inactividad de los principales hosts de Minecraft. Las gráficas muestran cómo múltiples operadores de red sufrieron caídas breves pero repetidas durante los mismos períodos de tiempo.

Estados Unidos: el nuevo epicentro del problema

Ferguson ha estado rastreando Aisuru durante aproximadamente tres meses, y recientemente notó que la composición de la botnet cambió fuertemente hacia sistemas infectados en ISPs de Estados Unidos. Ferguson compartió registros de un ataque del 8 de octubre que indexaba tráfico por el volumen total enviado a través de cada proveedor de red, y los registros mostraron que 11 de los 20 principales fuentes de tráfico estaban basadas en ISPs estadounidenses.

Los clientes de AT&T fueron por mucho los mayores contribuyentes estadounidenses a ese ataque, seguidos por sistemas botificados en Charter Communications, Comcast, T-Mobile y Verizon, encontró Ferguson. Dijo que el volumen de paquetes de datos por segundo provenientes de hosts IoT infectados en estos ISPs es a menudo tan alto que ha comenzado a afectar la calidad de servicio que los ISPs pueden proporcionar a clientes adyacentes (no botificados).

«El impacto se extiende más allá de las redes víctimas», señaló Ferguson. «Por ejemplo, hemos visto 500 gigabits de tráfico solo a través de la red de Comcast. Esta cantidad de egreso saliendo de su red, especialmente estando tan concentrado en el este de Estados Unidos, resultará en congestión hacia otros servicios o contenido que se intenta alcanzar mientras un ataque está en curso».

El efecto dominó en la infraestructura

Roland Dobbins, ingeniero principal en Netscout, confirma las observaciones de Ferguson, señalando que mientras la mayoría de los ISPs tienen mitigaciones efectivas para manejar ataques DDoS entrantes grandes, muchos están mucho menos preparados para manejar la inevitable degradación del servicio causada por grandes números de sus clientes usando repentinamente parte o todo el ancho de banda disponible para atacar a otros.

«Los ataques DDoS salientes y cruzados pueden ser igual de disruptivos que el material entrante», dijo Dobbins. «Ahora estamos en una situación donde los ISPs rutinariamente ven ataques salientes de terabit por segundo plus desde sus redes que pueden causar problemas operacionales».

Dobbins continuó: «La necesidad urgente de una supresión efectiva y universal de ataques DDoS salientes es algo que realmente está siendo resaltado por estos ataques recientes. Muchos operadores de red están aprendiendo esa lección ahora, y habrá un período por delante donde habrá algo de caos y disrupción potencial».

KrebsOnSecurity solicitó comentarios a los ISPs mencionados en el informe de Ferguson. Charter Communications señaló una publicación reciente en su blog sobre la protección de su red, declarando que monitorea activamente tanto ataques entrantes como salientes, y que toma acción proactiva siempre que sea posible.

«Además de nuestra extensa seguridad de red propia, también buscamos reducir el riesgo de que los dispositivos conectados de los clientes contribuyan a ataques a través de nuestra solución Advanced WiFi que incluye Security Shield, y ponemos Security Suite a disposición de nuestros clientes de Internet», escribió Charter en una respuesta por correo electrónico. «Con el número cada vez mayor de dispositivos conectándose a las redes, alentamos a los clientes a comprar dispositivos confiables con prácticas de desarrollo y fabricación seguras, usar antivirus y herramientas de seguridad en sus dispositivos conectados, y descargar regularmente parches de seguridad».

Un portavoz de Comcast respondió: «Actualmente nuestra red no está experimentando impactos y somos capaces de manejar el tráfico».

Nueve años después de Mirai

Aisuru está construido sobre los huesos de código malicioso que fue filtrado en 2016 por los creadores originales de la botnet IoT Mirai. Como Aisuru, Mirai rápidamente superó a todas las demás botnets DDoS en su apogeo, y obliteró récords previos de ataques DDoS con un asedio de 620 gigabits por segundo que dejó fuera de línea al sitio web KrebsOnSecurity durante casi cuatro días en 2016.

Los maestros de Mirai también usaron su máquina del crimen para atacar principalmente servidores Minecraft, pero con el objetivo de forzar a los propietarios de servidores Minecraft a comprar un servicio de protección DDoS que ellos controlaban. Además, alquilaban porciones de la botnet Mirai a clientes pagadores, algunos de los cuales la usaban para enmascarar las fuentes de otros tipos de cibercrimen, como el fraude de clics.

Los operadores de Aisuru

Dobbins dice que los propietarios de Aisuru también parecen estar alquilando su botnet como una red de proxies distribuida que los clientes cibercriminales en cualquier parte del mundo pueden usar para anonimizar su tráfico malicioso y hacer que parezca provenir de usuarios residenciales regulares en Estados Unidos.

«Las personas que operan esta botnet también están vendiendo proxies residenciales», explicó. «Y eso está siendo usado para reflejar ataques de capa de aplicación a través de los proxies en los bots también».

La botnet Aisuru recuerda a su predecesor Mirai de otra manera intrigante. Uno de sus propietarios está usando el handle de Telegram «9gigsofram», que corresponde al apodo usado por el co-propietario de un servicio de protección de servidores Minecraft llamado Proxypipe que fue fuertemente atacado en 2016 por los maestros originales de Mirai.

Robert Coelho co-dirigía Proxypipe en ese entonces junto con su socio comercial Erik «9gigsofram» Buckingham, y ha pasado los últimos nueve años perfeccionando varias compañías de mitigación DDoS que atienden a operadores de servidores Minecraft y otros entusiastas del gaming. Coelho dijo que no tiene idea de por qué uno de los botmasters de Aisuru eligió el apodo de Buckingham, pero agregó que podría decir algo sobre cuánto tiempo esta persona ha estado involucrada en la industria de DDoS-para-alquilar.

«Los ataques de Aisuru sobre las redes de gaming en estos últimos siete días han sido absolutamente enormes, y puedes ver toneladas de proveedores cayéndose múltiples veces al día», dijo Coelho.

Coelho señaló que el ataque de 15 Tbps de esta semana contra TCPShield probablemente fue solo una porción del volumen total de ataque lanzado por Aisuru en ese momento, porque gran parte habría sido empujado a través de redes que simplemente no podían procesar ese volumen de tráfico de una vez. Tales ataques descomunales, dijo, se están volviendo cada vez más difíciles y costosos de mitigar.

«Definitivamente está en el punto ahora donde necesitas estar gastando al menos un millón de dólares al mes solo para tener la capacidad de red para poder lidiar con estos ataques», afirmó.

Propagación rápida y vulnerabilidades zero-day

Aisuru ha sido rumoreado durante mucho tiempo de usar múltiples vulnerabilidades zero-day en dispositivos IoT para ayudar a su rápido crecimiento durante el año pasado. XLab, la empresa de seguridad china que fue la primera en perfilar el ascenso de Aisuru en 2024, advirtió el mes pasado que uno de los botmasters de Aisuru había comprometido el sitio web de distribución de firmware de Totolink, un fabricante de routers de bajo costo y otros equipos de red.

«Múltiples fuentes indican que el grupo supuestamente comprometió un servidor de actualización de firmware de routers en abril y distribuyó scripts maliciosos para expandir la botnet», escribió XLab el 15 de septiembre. «El conteo de nodos actualmente se reporta en alrededor de 300,000».

Los operadores de Aisuru recibieron un impulso inesperado a su máquina del crimen en agosto cuando el Departamento de Justicia de Estados Unidos acusó al presunto propietario de Rapper Bot, una botnet DDoS-para-alquilar que competía directamente con Aisuru por el control del pool global de sistemas IoT vulnerables.

Una vez que Rapper Bot fue desmantelado, los curadores de Aisuru se movieron rápidamente para comandar dispositivos IoT vulnerables que fueron repentinamente liberados por el desmantelamiento del gobierno, dijo Dobbins.

«Arrestaron a gente y confiscaron los servidores de control de Rapper Bot y eso es genial, pero desafortunadamente los activos de ataque de la botnet fueron luego repartidos por las botnets restantes», explicó. «El problema es que, incluso si esos dispositivos IoT infectados son reiniciados y limpiados, aún serán re-comprometidos por algo más generalmente dentro de minutos de ser conectados de nuevo».

Los botmasters en libertad

La publicación de blog de septiembre de XLab citó múltiples fuentes anónimas diciendo que Aisuru es operada por tres cibercriminales: «Snow», responsable del desarrollo de la botnet; «Tom», encargado de encontrar nuevas vulnerabilidades; y «Forky», responsable de las ventas de la botnet.

KrebsOnSecurity entrevistó a Forky en una historia de mayo de 2025 sobre el ataque récord de 6.3 Tbps de Aisuru. Esa historia identificó a Forky como un hombre de 21 años de Sao Paulo, Brasil, que ha estado extremadamente activo en la escena DDoS-para-alquilar desde al menos 2022. El FBI ha confiscado los dominios DDoS-para-alquilar de Forky varias veces a lo largo de los años.

Como los botmasters originales de Mirai, Forky también opera un servicio de mitigación DDoS llamado Botshield. Forky se negó a discutir la composición de la clientela de su ISP, o a aclarar si Botshield era más un proveedor de hosting o una empresa de mitigación DDoS. Sin embargo, Forky ha publicado en Telegram sobre Botshield mitigando exitosamente grandes ataques DDoS lanzados contra otros servicios de DDoS-para-alquilar.

En la entrevista previa, Forky reconoció estar involucrado en el desarrollo y marketing de Aisuru, pero negó participar en ataques lanzados por la botnet.

Contactado para comentar a principios de este mes, Forky continuó manteniendo su inocencia, afirmando que también está todavía tratando de descubrir quiénes son los operadores actuales de la botnet Aisuru en la vida real (Forky dijo lo mismo en la entrevista de mayo).

Pero después de una semana de prometer detalles jugosos, Forky volvió con las manos vacías una vez más. Sospechando que Forky simplemente estaba siendo evasivo, se le preguntó cómo alguien tan conectado al mundo DDoS-para-alquilar podría seguir desconcertado en este punto, y se sugirió que su incapacidad o falta de voluntad para culpar a alguien más por Aisuru no ayudaría exactamente a su caso.

Ante esto, Forky se molestó verbalmente al ser presionado por más detalles, y terminó abruptamente la entrevista.

«No estoy aquí para ser amenazado con ignorancia porque estás estresado», respondió Forky. «Me están culpando por esos nuevos ataques. Prácticamente el mundo entero (lo hace) debido a tu blog».

Fuente

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí