Microsoft ha recentemente neutralizzato un attacco DDoS senza precedenti che ha raggiunto il picco di 15,72 terabit al secondo, segnando un nuovo record nella storia degli attacchi contro infrastrutture cloud. L’attacco ha preso di mira un endpoint situato in Australia ed è stato generato da una botnet IoT della famiglia TurboMirai, identificata come AISURU. Questa minaccia informatica ha coinvolto oltre 500.000 indirizzi IP distribuiti in tutto il mondo, sfruttando dispositivi compromessi come router, telecamere di sicurezza e sistemi DVR.

AISURU: una botnet potente e sofisticata

AISURU è una botnet particolarmente sofisticata e potente, costruita su una base di quasi 300.000 dispositivi infetti secondo i dati di QiAnXin XLab. La sua capacità di orchestrare attacchi DDoS di dimensioni così elevate si deve alla massiccia potenza di calcolo e banda disponibile grazie alla compromissione di numerosi dispositivi IoT scarsamente protetti. Oltre agli attacchi DDoS, questa botnet offre funzionalità multiuso, come credential stuffing, scraping web automatizzato tramite intelligenza artificiale, invio di spam e phishing, e addirittura servizi di proxy residenziale.

Un aspetto interessante evidenziato dalle analisi degli esperti è che gli operatori di AISURU avrebbero imposto delle restrizioni interne per evitare di colpire infrastrutture governative, militari e di pubblica sicurezza, indirizzando invece la maggior parte delle offensive verso il mondo del gaming online. Tuttavia, il rischio per le aziende rimane elevato a causa della capacità della botnet di adattarsi e sfruttare nuovi dispositivi man mano che la diffusione della fibra ottica e le prestazioni degli apparati IoT crescono.

Le altre minacce: Eleven11 e i domini alternativi

Parallelamente, la società NETSCOUT ha documentato attività simili di un’altra botnet TurboMirai chiamata Eleven11, nota anche come RapperBot, che tra febbraio e agosto 2025 avrebbe lanciato circa 3.600 attacchi DDoS sfruttando dispositivi IoT compromessi. Nonostante l’arresto di alcuni responsabili e lo smantellamento della botnet, i dispositivi infetti restano vulnerabili e facilmente reclutabili per future campagne malevole.

Alcuni dei server di comando e controllo di queste botnet sono registrati su domini alternativi come .libre, appartenenti a OpenNIC, una radice DNS indipendente da ICANN spesso sfruttata per sfuggire ai controlli standard. Questo scenario sottolinea la necessità di rafforzare la sicurezza dei dispositivi IoT e di mantenere aggiornate le difese contro attacchi DDoS, che diventano sempre più frequenti e devastanti con l’evolversi delle botnet globali.