Desde principios de 2025, la comunidad de seguridad cibernética ha sido testigo de un aumento sin precedentes en el ancho de banda distribuido de denegación de servicio (DDoS), que culminó con un asalto de 11.5 TBP de 11.5 tbps atribuido a una boteta llamada Aisuru.
Saliendo del monitoreo continuo de XLAB de los incidentes globales de DDoS, este firmware de enrutador comprometido con apalancamiento de Botnet para acumular aproximadamente 300,000 dispositivos activos en todo el mundo.
Los investigadores primero detectaron picos inusuales de tráfico malicioso dirigido a los principales proveedores de infraestructura, lo que provocó una investigación más profunda sobre la amenaza subyacente.
Los analistas de XLAB observaron similitudes sorprendentes entre la metodología de ataque de Aisuru y las campañas anteriores, sin embargo, la escala y la sofisticación de esta operación superaron con creces los puntos de referencia anteriores.
La propagación de Aisuru comenzó en abril de 2025 cuando los actores de amenaza explotaron una vulnerabilidad en los servidores de actualización de firmware del enrutador Totolink.
Al alterar la URL de firmware para señalar un script malicioso, cada dispositivo que realiza una actualización automática se infectó.
En cuestión de semanas, el tamaño de la red de Aisuru aumentó a más de 100,000 enrutadores, y para septiembre de 2025, la botnet había consolidado alrededor de 300,000 nodos.
Investigadores de XLAB identificado El uso del túnel GRE para distribuir las cargas de tráfico en múltiples servidores de comando y control (C2), lo que permite que la botnet orquesta una inundación simultánea de paquetes que abrumaban las redes objetivo con facilidad.
Cloudflare mitiga 11.5 Tbps DDoS Attack (Fuente – XLAB)
El impacto del ataque de 11.5 TBP se sintió a nivel mundial cuando los proveedores de servicios se apresuraron a mitigar la inundación de solicitudes de amplificación SYN, UDP y DNS.
Las organizaciones afectadas informaron interrupciones intermitentes y degradación del servicio, destacando la potencia de combinar el compromiso de IoT a gran escala con técnicas de evasión avanzada.
Los analistas de XLAB identificaron el cambio rápido de los vectores de amplificación tradicionales a secuencias de paquetes personalizadas diseñadas para evitar herramientas de mitigación heredada, una innovación que permitió a Aisuru establecer nuevos récords mundiales en el rendimiento DDOS.
Si bien la arquitectura distribuida y la capacidad de ancho de banda de Aisuru son asombrosas por sí mismas, el comportamiento subyacente del malware revela un nivel más profundo de refinamiento técnico.
Su motor de propagación de doble versión demuestra una evolución continua, integrando tanto las exploits de día cero como las vulnerabilidades n-día conocidas para expandir su alcance.
Igualmente preocupante es su diseño modular, que facilita actualizaciones rápidas al cifrado, los protocolos de comunicación y los comandos de ataque sin requerir una revisión completa de la base de código de malware.
Mecanismo de infección: secuestro de actualización de firmware
La profundización en el mecanismo de infección de Aisuru descubre un enfoque engañosamente simple pero devastador.
En abril de 2025, los atacantes violaron el servidor de actualización de firmware de Totolink, plantando un script de shell llamado T.SH que redirigió dispositivos para descargar la carga útil de Aisuru.
Una vez ejecutado, el script configuró la ejecución persistente modificando /etc/rc.local entradas y deshabilitando el Linux OOM Killer a través de/proc/self/oom_score_adj, asegurando que el bot permaneciera residente en los reinicios.
El binario de carga útil, renombrada a Libcow. SO, evitó la detección disfrazándose de un demonio del sistema común como Telnetd o Dhclient.
Tras la inicialización, Aisuru realiza verificaciones de entorno para terminar en entornos virtualizados o de análisis escaneando para artefactos de virtualización y herramientas de depuración.
Luego establece un canal seguro con servidores C2 a través de un protocolo híbrido AES-XOR personalizado, intercambiando comandos que van desde instrucciones DDoS hasta asignaciones de proxy residenciales.
Sigue un fragmento ilustrativo de la rutina de persistencia:-
# Configuración de persistencia en /etc/rc.local echo “/usr/lib/libcow.so &” >> /etc/rc.local chmod +x /usr/lib/libcow.so script malicioso (fuente – xlab)
Este mecanismo subraya el dominio de los actores de amenaza sobre la administración tradicional de Linux y la ingeniería de malware a medida, lo que permite a Aisuru mantener el dominio en el ecosistema DDOS.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
