La botnet Aisuru, derivata da TurboMirai, rappresenta una delle minacce più potenti e sofisticate nel panorama DDoS del 2025. Questa rete malevola è capace di generare attacchi che superano 20 terabit al secondo e 4 miliardi di pacchetti al secondo, colpendo principalmente il settore del gaming online. Aisuru opera come servizio DDoS-for-hire, con una clientela selezionata e restrizioni autoimposte che escludono bersagli governativi o militari. La sua architettura modulare, basata su dispositivi IoT compromessi come router broadband e sistemi CCTV, dimostra come il cybercrime industrializzato possa sfruttare infrastrutture domestiche per operazioni su scala globale.
Cosa leggere
Scoperta e natura della minaccia Aisuru
La campagna Aisuru emerge nell’ottobre 2025, quando gli esperti rilevano attacchi dimostrativi che superano i 20 Tb/sec e coinvolgono milioni di dispositivi. Gli operatori della rete sfruttano varianti di Mirai per costruire un botnet multiuso, capace non solo di eseguire attacchi DDoS massivi, ma anche di condurre credential stuffing, spamming e phishing automatizzati.
La rete, che integra un servizio proxy residenziale per riflettere traffico HTTPS, utilizza dispositivi CPE consumer-grade, DVR e sistemi di videosorveglianza con firmware vulnerabili. Gli sviluppatori di Aisuru migliorano continuamente il codice, aggiungendo capacità di flooding UDP, TCP, GRE e DNS e introducendo nuove tecniche di carpet-bombing e randomizzazione delle porte, ereditate dal framework originale di TurboMirai.
Architettura e capacità della botnet
Ogni nodo di Aisuru è un dispositivo IoT compromesso, spesso installato presso utenti domestici o PMI, che genera flussi outbound superiori a 1,5 Tb/sec. Gli attacchi più potenti causano guasti hardware a router e switch layer-3, mandando in crash le line card chassis-based delle reti broadband.
La botnet mantiene una struttura distribuita, in cui il traffico non viene spoofato, consentendo il traceback e l’attribuzione dei nodi compromessi. Gli attacchi UDP e TCP impiegano pacchetti di dimensione media compresa tra 540 e 750 byte, calibrati per bilanciare throughput e pacchetti al secondo. In questo modo, Aisuru ottimizza la pressione sulle infrastrutture di rete e sfrutta la mancanza di best current practices (BCP) in molti operatori per amplificare l’impatto.
Tecniche di attacco e varianti operative
Gli attacchi DDoS di Aisuru si distinguono per l’uso combinato di single-vector direct-path floods e varianti multi-vector quando collaborano con altri servizi DDoS-for-hire. L’integrazione di proxy residenziali consente di generare attacchi layer 7 HTTPS simulando traffico legittimo, difficile da distinguere da quello reale. Le pseudo-randomizzazioni delle porte UDP/TCP e le oltre cento combinazioni di flag TCP osservate complicano le strategie di difesa e di filtraggio. Gli attacchi di piccolo pacchetto, ad alto pps, causano sovraccarichi da backplane e interruzioni multiple nei core network.
Dispositivi e reti colpite
La propagazione del botnet Aisuru colpisce router consumer-grade, sistemi CCTV e DVR online, sfruttando firmware OEM simili. Le reti broadband fisse subiscono outflow elevati, mentre quelle wireless e mobili vengono saturate da carpet-bombing che esauriscono la banda e compromettono le risorse di packet core stateful. In alcuni casi, la mancanza di misure di suppression outbound/crossbound ha permesso alla botnet di amplificare il traffico in uscita fino a oltre 1 Tb/sec per singolo operatore. Le reti colpite hanno registrato outflow superiori a 1 Gpps da dispositivi on-net compromessi. La propagazione crossbound ha generato effetti domino anche su reti vicine, con congestioni localizzate e interruzioni dei servizi.
Rilevazione e tracciamento dei nodi compromessi
Le capacità non spoofed del traffico generato da Aisuru consentono di effettuare traceback efficaci e correlare i flussi malevoli con gli abbonati delle reti broadband. Gli operatori che dispongono di strumenti di visibilità DDoS come NETSCOUT Arbor Sightline possono classificare il traffico anomalo e isolare i dispositivi infetti. Le piattaforme di analisi consentono di distinguere il traffico outbound, inbound e crossbound, identificando in tempo reale le sorgenti di flooding e le destinazioni colpite. Tuttavia, la rapida recompromissione dei dispositivi — una volta rimossi o ripristinati — indica che gli operatori malevoli dispongono di script automatizzati per riarruolare le stesse risorse in nuovi botnet TurboMirai.
Metodi di mitigazione e difesa
Gli esperti raccomandano di implementare Intelligent DDoS Mitigation Systems (IDMS) come Arbor TMS, capaci di eseguire soppressione granulare outbound e crossbound, riducendo al minimo sia l’underblocking che l’overblocking. Le tecniche infrastructure-based come Flowspec e Source-based Remotely Triggered Blackholing (S/RTBH) permettono di droppare, reindirizzare o limitare il traffico basandosi su caratteristiche layer-4. Le BCP architetturali e operative devono proteggere gli asset critici da traffico eccessivo, mentre nei contesti mobile e wireless è fondamentale l’uso di Arbor Sightline Mobile per monitorare il packet core e tracciare i dispositivi infetti tramite lookup IMSI.
Importanza della mitigazione outbound
Una delle lezioni più rilevanti del caso Aisuru riguarda la mitigazione outbound, spesso trascurata rispetto alla protezione inbound. Gli attacchi generati dai dispositivi CPE compromessi partono dall’interno delle reti degli operatori e si propagano verso l’esterno, trasformando i provider stessi in sorgenti involontarie di DDoS. Implementare sistemi di visibilità bidirezionale, politiche di access control, rate limiting e separazione dei flussi interni da quelli pubblici è oggi essenziale per evitare che infrastrutture legittime diventino strumenti di attacco.
Prospettive e implicazioni operative
La botnet Aisuru mostra l’evoluzione dei modelli DDoS moderni: da reti caotiche di dispositivi a piattaforme strutturate di attacco su abbonamento, con moduli mirati e selezione dei bersagli. L’uso di AI per il web scraping, la raccolta di credenziali e la gestione automatica del proxy residenziale segna una convergenza tra automazione e cybercrime organizzato. Gli operatori di rete, i provider e le aziende di cybersecurity devono collaborare per creare ecosistemi di difesa distribuiti, dove la prevenzione si estende non solo al traffico in ingresso ma anche a quello generato internamente.
