Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumière une infrastructure de menace à très grande échelle, créditée d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opération serait pilotée par un trio (« Snow », « Tom », « Forky ») et s’étend au-delà du DDoS vers des services de proxy.

Les chercheurs décrivent une compromission à large spectre de routeurs (avec un ciblage marqué des appareils Totolink via des serveurs de mise à jour de firmware compromis) et d’autres équipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant.

Sur le plan défensif/évasif, le malware recourt à des techniques d’anti-analyse (détection d’environnement, obfuscation des noms de processus) et à une sélection de nœuds proxy basée sur des tests de débit réseau. Le C2 s’appuie sur des enregistrements DNS TXT, et le protocole réseau observé comprend 11 types de messages couvrant DDoS, proxy et contrôle distant.

Côté chiffrement et protocole, les échantillons montrent une évolution depuis un échange de clés ECDH‑P256 vers des protocoles simplifiés basés sur RC4. Une implémentation RC4 custom est signalée avec la clé « PJbiNbbeasddDfsc » et des échanges chiffrés adaptés pour contourner l’analyse.

Il s’agit d’une publication de recherche qui documente l’analyse technique, l’infrastructure C2 et les capacités d’AISURU, à des fins de renseignement sur la menace 🧪.

IOC observés (extraits):

  • Clé RC4 custom: PJbiNbbeasddDfsc
  • Canal C2: enregistrements DNS TXT
  • Ciblage d’appareils Totolink via serveurs de mise à jour compromis

TTPs notables:

  • Exploitation de vulnérabilités sur routeurs et DVR (multiples CVE)
  • Anti-analyse: détection d’environnement, obfuscation de processus
  • Chiffrement custom RC4; évolution depuis ECDH‑P256
  • DDoS (incluant UDP flooding), proxy, shell distant
  • Sélection de nœuds proxy via tests de vitesse réseau
  • 11 types de messages au sein du protocole réseau

🔗 Source originale : https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru/

🖴 Archive : https://web.archive.org/web/20250915092342/https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru/