Киберпреступный альянс AISURU: от масштабных DDoS-атак к прокси-сервисам

По данным анонимных источников, за AISURU стоят три человека под псевдонимами Snow, Tom и Forky. Snow отвечает за разработку вредоносного ПО, Tom - за поиск уязвимостей (как нулевого дня, так и уже известных), а Forky занимается монетизацией ботнета. В апреле 2025 года группировка взломала сервер обновлений прошивок маршрутизаторов Totolink, подменив легитимные скрипты на вредоносные. Это позволило всего за несколько недель увеличить размер ботнета до 300 000 зараженных устройств, около 30 000 из которых находятся в Китае.

Члены группировки известны своим вызывающим поведением: они атакуют интернет-провайдеров «ради развлечения», что создало им крайне негативную репутацию в сообществе. В ответ активисты начали публиковать в соцсетях данные о деятельности AISURU, включая скриншоты панели управления ботнетом, и призывать правоохранительные органы к действию.

Несмотря на то, что уязвимость в серверах Totolink была оперативно устранена, размер ботнета практически не уменьшился. Группировка продолжает активно развивать свою инфраструктуру, мигрируя с одних IP-адресов на другие и используя GRE tunels (туннели) для управления трафиком.

С технической точки зрения ботнет постоянно эволюционирует. С марта 2025 года злоумышленники внедрили два крупных обновления, направленных на усиление шифрования и изменение сетевого протокола. Образцы вредоносного ПО содержат сложные механизмы противодействия анализу: проверку окружения (выявление виртуальных машин и снифферов), отключение OOM Killer в Linux и маскировку под легитные процессы.

Одной из характерных черт AISURU является использование модифицированного алгоритма RC4 с статическим ключом «PJbiNbbeasddDfsc». При расшифровке некоторых строк обнаруживаются провокационные сообщения, направленные в сторону экспертов по безопасности, что свидетельствует о демонстративной уверенности группировки в своей безнаказанности.

Но главным трендом стало расширение функциональности ботнета. Помимо DDoS-атак, последние версии malware (вредоносного ПО) поддерживают команды для организации  прокси-сервисов. Это говорит о том, что группа намерена диверсифицировать доходы, предлагая анонимный доступ к своей сети скомпрометированных устройств. Анализ команд, перехваченных системой мониторинга XLab, подтверждает: часть ботов уже получает инструкции, связанные с прокси-трафиком.

AISURU представляет собой качественно новую угрозу: это не просто инструмент для заказных атак, а многофункциональная платформа, которую её операторы активно развивают и масштабируют. Совместные усилия международного сообщества кибербезопасности и правоохранительных органов необходимы для противодействия этой растущей опасности.

IPv4

• 104.171.170.241
• 104.171.170.253
• 107.173.196.189
• 194.46.59.169
• 64.188.68.193
• 78.108.178.100

Domains

• a.6mv1eyr328y6due83u3js6whtzuxfyhw.ru
• approach.ilovegaysex.su
• coerece.ilovegaysex.su
• lane.ilovegaysex.su
• ministry.ilovegaysex.su
• u.ilovegaysex.su
• updatetoto.tw

SHA1

• 08e9620a1b36678fe8406d1a231a436a752f5a5e
• 09894c3414b42addbf12527b0842ee7011e70cfd
• 26e9e38ec51d5a31a892e57908cb9727ab60cf88
• 51d9a914b8d35bb26d37ff406a712f41d2075bc6
• 616a3bef8b0be85a3c2bc01bbb5fb4a5f98bf707
• ccf40dfe7ae44d5e6922a22beed710f9a1812725