Ботнет Aisuru: октябрьские атаки привели к рекордным DDoS-нападениям

Эволюция угрозы и рекордные объёмы

Ботнет Aisuru, основанный на устройствах интернета вещей, насчитывает около 500 000 скомпрометированных узлов, причём его размер удвоился всего за четыре недели. Его операторы используют многогранную стратегию заражения, включая предполагаемый компрометацию цепочки поставок микропрограммного обеспечения, для постоянного расширения сети устройств, инфицированных вредоносным ПО Aisuru и его вариантами kitty и AIRASHI.

Основной и наиболее заметной возможностью этого ботнета является генерация DDoS-атак ранее теоретического масштаба. С мая по октябрь 2025 года объём атак вырос с 6.35 до рекордных 29.7 Тбит/с. Чтобы представить этот масштаб, достаточно сказать, что поток в 12 Тбит/с эквивалентен одновременному направлению трафика с 56 075 типичных американских домашних интернет-подключений на одну цель. Такие объёмы способны перегрузить инфраструктуру всех, кроме самых подготовленных глобальных сетевых провайдеров.

Кампания Aisuru, наблюдавшаяся Cloudflare, использует популярный метод: гиперобъёмные и ультрасложные UDP DDoS-атаки типа «ковровое бомбометание». Высоко распределённые UDP-атаки распыляли трафик на тысячи портов в секунду, пытаясь перегрузить цели потоком бесполезных неориентированных пакетов. При этом злоумышленник активно рандомизировал атрибуты пакетов, что делало точное обнаружение и нейтрализацию почти невозможными для простых систем защиты. Кроме того, атаки достигали пиковой интенсивности почти мгновенно и поддерживали её всего 30-70 секунд, что максимизировало ущерб при минимальном времени для обнаружения.

Анализ рекордной атаки 31 октября

В указанный день ботнет Aisuru начал полномасштабную скоординированную атаку, которую сеть Cloudflare зафиксировала как одну из крупнейших и наиболее продолжительных DDoS-атак, управляемых устройствами интернета вещей. В заражённый флот входили маршрутизаторы Totolink, Nexxt, Linksys, видеорегистраторы, IP-камеры, шлюзы и межсетевые экраны Zyxel, а также устройства cnPilot от Cambium Networks.

Эта UDP-атака, крупнейшая в истории на момент написания, была полностью и автономно нейтрализована системами Cloudflare. Ботнет обрушивал UDP-пакеты в среднем на 15 000 портов назначения в секунду, а пиковое значение в начальной фазе достигло 34 000 портов в секунду. Параллельно наблюдались и другие типы флуда, включая TCP SYN и TCP ACK. Некоторые атаки были направлены на отдельные IP-адреса, а другие - на целые подсети, что указывает на динамическую настройку параметров операторами.

Трафик исходил в среднем из 17 000 автономных систем (ASN) в секунду, достигнув пика в 45 000, и был нейтрализован центрами обработки данных Cloudflare в 113 странах. Ранний анализ IP-адресов показал, что 74% атакующих адресов были активны не более двух дней, что говорит о высокой текучести и неэффективности простой блокировки по IP в долгосрочной перспективе.

Растущая волна гиперобъёмных атак

Начиная с середины 2024 года Cloudflare наблюдает беспрецедентный рост масштабов гиперобъёмных DDoS-атак, преимущественно UDP «коврового бомбометания». Например, мировой рекорд по объёму вырос с 4.2 Тбит/с в октябре 2024 года до 29.7 Тбит/с в октябре 2025 года, что составляет ошеломляющие 707% годового роста. С начала 2025 года Cloudflare автономно нейтрализовал более 3300 гиперобъёмных DDoS-атак, запущенных Aisuru, - в среднем 334 атаки в месяц. В третьем квартале 2025 года количество таких атак выросло на 54% по сравнению со вторым кварталом.

Тактики, техники и процедуры (TTP)

Анализ выявил высокодеструктивный и технически продвинутый арсенал TTP. Операторы используют как минимум восемь типов флуда, включая UDP, TCP SYN и TCP ACK, каждый с настраиваемыми параметрами. Исследование ключевого образца вредоносного ПО (nx86_64.elf) показало сложную архитектуру, ориентированную на скрытность, устойчивое управление и расширенные возможности полезной нагрузки.

Для управления ботнет не использует жёстко заданные IP-адреса. Вместо этого он получает адреса центра управления из DNS TXT-записей, что делает сеть устойчивой к попыткам её обезвредить. Для дополнительного скрытия адреса обфусцируются с помощью кастомной схемы: IP конвертируется в hex, применяется операция XOR с константой 0xCAFEBABE и выполняется кодирование Base64. Наблюдаемый первоначальный DNS-запрос шёл к домену dvrxpert.tiananmensquare1989[.]su, который был заблокирован.

Вредоносное ПО использует двухуровневую систему шифрования. Внутренняя конфигурация расшифровывается с помощью жёстко заданного RC4-ключа. Все коммуникации с центром управления защищены шифрованием ChaCha20 с уникальным сеансовым ключом для каждого соединения, что исключает возможность дешифровки перехваченного трафика и осложняет анализ.

На заражённом устройстве вредоносная программа маскируется под стандартные Linux-демоны, такие как telnetd или klogd. Она также проводит активные проверки на наличие признаков песочницы или виртуализации, что позволяет ей противодействовать анализу исследователями безопасности.

Цели и возможная атрибуция

Основной удар кампаний Aisuru пришёлся на клиентов Cloudflare, использующих DNS и HTTP-сервисы, а также на некоторых других крупных интернет-провайдеров. По отраслям лидирует телекоммуникационный сектор (свыше 60% атак), за ним следуют информационные технологии и сервисы (12.7%), игровая индустрия (7.8%) и кибербезопасность (6.4%). Географически основное внимание уделялось США (76%), Китаю (10%) и Гонконгу (5%).

Точная атрибуция пока остаётся под вопросом, однако публичные отчёты указывают на группу из трёх лиц, действующих под псевдонимами Snow, Tom и Forky. В мае 2025 года Forky, идентифицированный как 21-летний житель Сан-Паулу, признал участие в разработке и продвижении ботнета, но отрицал причастность к запуску атак. Группа заявляла, что осуществляет высокодеструктивные атаки на провайдеров «ради развлечения». Использование провокационных доменных имён, сочетающих политические и откровенно сексуальные темы, скорее указывает на желание эпатировать или ввести аналитиков в заблуждение, чем на чёткую идеологическую или геополитическую мотивацию.

IPv4

• 161.35.159.168
• 164.90.174.64
• 167.172.160.49
• 167.172.190.98
• 167.99.52.96
• 178.128.227.241
• 185.241.208.165
• 185.241.208.197
• 193.233.84.19
• 193.233.84.63
• 193.233.84.64
• 193.233.84.65
• 193.233.84.67
• 193.233.84.68
• 193.233.84.71
• 193.233.84.73
• 193.233.84.76
• 193.26.115.154
• 193.26.115.48
• 194.58.38.57
• 209.38.218.0
• 45.138.16.234
• 45.154.96.24
• 45.43.57.167
• 45.43.57.186
• 45.80.158.129
• 45.80.158.144
• 65.108.5.46
• 68.183.179.103
• 68.183.206.140
• 77.110.112.132
• 77.110.112.4
• 77.110.112.5
• 78.153.149.249
• 81.19.140.41
• 88.151.192.129

Domains

• 14emeliaterracewestroxburyma02132.su
• 2.tiananmensquare1989.su
• 6mv1eyr328y6due83u3js6whtzuxfyhw.su
• a.6mv1eyr328y6due83u3js6whtzuxfyhw.su
• approach.dvrinside.net
• approach.ilovegaysex.su
• arf.santasbigcandycane.ru
• ballsack.14emeliaterracewestroxburyma02132.su
• busybox.feds2door.su
• coerece.dvrinside.net
• coerece.ilovegaysex.su
• dvrinside.net
• dvrxpert.tiananmensquare1989.su
• epson.ilovegaysex.su
• eviate-lives-at.14emeliaterracewestroxburyma02132.su
• feds2door.su
• ilovegaysex.su
• lane.dvrinside.net
• lane.ilovegaysex.su
• ministry.dvrinside.net
• ministry.ilovegaysex.su
• nfs.santasbigcandycane.ru
• re.santasbigcandycane.ru
• s.cuckstudios.su
• stevenfromcoinbase.fk3.su
• testlmaololwtf.tiananmensquare1989.su
• updatetoto.tw

SHA256

• 08717d85a8a296279c2d2b792a33714d216a9de1950173d603222f78da9b9ca5
• 201d872e05f45062f3b18f1cb2bca7d5fe3811e7e6d4b8616d565a011fba091d
• 50d3806f47d3f701d5f1f93bf39f827f936e3d1f43fa2cd8408db9655d53fb83
• 7a5a5c813d636d96906fb4bf8f76c7f296a467dca756e92450f32dc69d781b71
• 90e3b997161e33c6485b48182073a864dd3d0775ab96cadbf1b7c9dd4821c6d1