Microsoft reveló el lunes que detectó y neutralizó automáticamente un ataque de denegación de servicio distribuido (DDoS) dirigido a un único punto final en Australia, que medía 5,72 terabits por segundo (Tbps) y casi 3,64 mil millones de paquetes por segundo (pps).
El gigante tecnológico dijo que fue el mayor ataque DDoS jamás observado en la nube y que se originó en una botnet de Internet de las Cosas (IoT) de clase Turbomirai conocida como AISURU . Actualmente no se sabe quién fue el objetivo del ataque.
«El ataque implicó inundaciones de UDP de una velocidad extremadamente alta dirigidas a una dirección IP pública específica, lanzadas desde más de 500 000 IP de origen en varias regiones», dijo Sean Whalen, de Microsoft dijo .
«Estas ráfagas repentinas de UDP tuvieron un mínimo de suplantación de fuentes y utilizaron puertos de origen aleatorios, lo que ayudó a simplificar el rastreo y facilitó la aplicación por parte de los proveedores».
Según datos de QianXin XLab, la botnet AISURU es alimentados por casi 300 000 dispositivos infectados, la mayoría de los cuales son enrutadores, cámaras de seguridad y sistemas DVR. Se ha atribuido a algunos de los mayores ataques DDoS registrados hasta la fecha. En un informe publicado el mes pasado, NETSCOUT clasificada la botnet de DDoS a sueldo operaba con una clientela restringida.
«Según se informa, los operadores han implementado medidas preventivas para evitar atacar propiedades gubernamentales, policiales, militares y otras propiedades de seguridad nacional», dijo la empresa. «La mayoría de los ataques de Aisuru observados hasta la fecha parecen estar relacionados con los juegos en línea».
Las botnets como AISURU también permiten funciones multiuso, ya que van más allá de los ataques DDoS que superan los 20 Tbps para facilitar otras actividades ilícitas, como el robo de credenciales, el rastreo web impulsado por inteligencia artificial (IA), el spam y el phishing. AISURU también incorpora un servicio de proxy residencial.
«Los atacantes están escalando con la propia Internet. A medida que aumenta la velocidad de transmisión de la fibra hasta el hogar y los dispositivos de IoT se vuelven más potentes, el tamaño de los ataques sigue aumentando», afirma Microsoft.
La divulgación se produce como NETSCOUT detallada otra botnet TurboMirai llamada Once 11 (también conocido como RapperBot), que se estima que lanzó unos 3.600 ataques DDoS impulsados por dispositivos IoT secuestrados entre finales de febrero y agosto de 2025, aproximadamente al mismo tiempo que las autoridades divulgado un arresto y el desmantelamiento de la botnet.
Algunos de los servidores de comando y control (C2) asociados a la botnet están registrados con el dominio de nivel superior (TLD) «.libre», que forma parte de OpenNIC, una raíz de DNS alternativa que funciona de forma independiente de la ICANN y que ha sido adoptada por otras botnets DDoS, como CatDDoS y Forcha .
«Aunque es probable que la botnet haya dejado de funcionar, los dispositivos comprometidos siguen siendo vulnerables», afirma. «Es probable que sea cuestión de tiempo hasta que los hosts vuelvan a ser secuestrados y reclutados como nodos comprometidos para la próxima botnet».