Selon KrebsOnSecurity, le botnet IoT Aisuru a franchi un seuil inédit en matière de DDoS, tout en déplaçant fortement son infrastructure vers des fournisseurs d’accès Internet (FAI) basés aux États‑Unis.

🚨 Capacités et impact: Aisuru, bâti sur du code Mirai divulgué, aligne environ 300 000 appareils compromis (routeurs, caméras, DVR) et a atteint 29,6 Tb/s lors d’attaques récentes. Les campagnes visent principalement des serveurs de jeux, et le botnet sert aussi de service de proxy résidentiel pour des acteurs malveillants.

🌐 Infrastructures et sources du trafic: L’analyse indique un basculement notable vers des FAI américains; AT&T, Comcast et Verizon hébergent une part substantielle des hôtes infectés. Les journaux d’attaque montrent que 11 des 20 premières sources de trafic proviennent de FAI US, avec des pics de 500+ Gb/s via un seul fournisseur, provoquant de la congestion réseau impactant des services légitimes.

🔧 Vecteurs et expansion: Aisuru cible des firmwares obsolètes ou peu sécurisés sur des routeurs, caméras et DVR. Les opérateurs auraient compromis le serveur de distribution de firmware de Totolink pour élargir l’empreinte du botnet et absorbé des actifs de Rapper Bot après son démantèlement.

• IOCs: non fournis dans l’extrait. • TTPs:

  • Exploitation d’appareils IoT avec firmware vulnérable/obsolète.
  • DDoS volumétriques massifs (jusqu’à 29,6 Tb/s).
  • Dérivé de Mirai et réutilisation d’actifs d’un botnet démantelé (Rapper Bot).
  • Compromission supply‑chain (serveur de distribution de firmware Totolink).
  • Monétisation via proxy résidentiel et ciblage de serveurs de jeux.

Type d’article: analyse de menace visant à documenter l’ampleur, l’infrastructure et les techniques opérationnelles d’Aisuru.

🧠 TTPs et IOCs détectés

TTPs

[“Exploitation d’appareils IoT avec firmware vulnérable/obsolète”, ‘DDoS volumétriques massifs (jusqu’à 29,6 Tb/s)’, ‘Dérivé de Mirai et réutilisation d’actifs d’un botnet démantelé (Rapper Bot)’, ‘Compromission supply‑chain (serveur de distribution de firmware Totolink)’, ‘Monétisation via proxy résidentiel’, ‘Ciblage de serveurs de jeux’]

IOCs

Non fournis dans l’extrait

🔗 Source originale : https://krebsonsecurity.com/2025/10/ddos-botnet-aisuru-blankets-us-isps-in-record-ddos/

🖴 Archive : https://web.archive.org/web/20251010165248/https://krebsonsecurity.com/2025/10/ddos-botnet-aisuru-blankets-us-isps-in-record-ddos/