11,5 terabits por segundo: cómo el botnet AISURU logró el récord absoluto de un ataque DDoS

El nuevo botnet AISURU fue la causa del mayor ataque DDoS registrado, cuya potencia alcanzó 11,5 Tbit/s. La magnitud del ataque superó el récord primaveral de 5,8 Tbit/s y mostró lo rápido que crece el nivel de amenazas relacionadas con la toma de control de dispositivos de red. Según los investigadores de QiAnXin XLab, en la red del botnet había alrededor de 300.000 enrutadores en todo el mundo.

AISURU fue descrito por primera vez por XLab en el verano de 2024, pero ya en marzo de 2025 su sistema CTIA comenzó a registrar nuevas muestras de código malicioso. Una fuente interna informó que el grupo está controlado por tres operadores: Snow se encarga del desarrollo de la infraestructura, Tom busca vulnerabilidades y Forky maneja el aspecto comercial. En abril de 2025 Tom logró insertar el script malicioso t.sh en el servidor de actualizaciones de Totolink, lo que provocó un contagio masivo de dispositivos. En pocas semanas el botnet creció hasta 100.000 nodos y más tarde su escala alcanzó 300.000.

XLab obtuvo datos del panel de control del botnet, donde, entre otras cosas, se mostraban más de 30.000 dispositivos infectados en China. La comparación de esa información con la telemetría de Cloudflare permitió confirmar la participación de AISURU en los ataques de potencia récord. Para amplificar el tráfico los operadores usaron túneles GRE desplegados en cuatro nodos de comando, lo que ayudó a elevar el volumen de tráfico hasta 11,5 Tbit/s.

La propagación de AISURU se produce mediante la explotación de numerosas vulnerabilidades en equipos de red. Entre ellas están — CVE-2017-5259 en dispositivos Cambium, CVE-2023-28771 en equipos Zyxel, CVE-2023-50381 en el SDK Realtek Jungle, así como una serie de vulnerabilidades antiguas en grabadores de vídeo y pasarelas. Además, el botnet sigue utilizando un 0-day en los routers Cambium cnPilot, detectado ya en 2024. Ese arsenal permitió a los operadores infectar cientos de miles de routers domésticos y corporativos en todo el mundo.

Según XLab, los ataques se realizan diariamente y afectan a organizaciones en China, EE. UU., Alemania, Reino Unido y Hong Kong. Las víctimas se eligen de forma aleatoria: no hay indicios de que los atacantes se concentren en un sector concreto. En primavera AISURU ya lanzó una oleada de 5,8 Tbit/s, y en otoño la potencia aumentó casi al doble.

El análisis técnico de la segunda versión de AISURU mostró que los autores trabajaron seriamente en los métodos de ocultación. El malware comprueba la presencia de herramientas de análisis como Wireshark o entornos virtuales y deja de funcionar si las detecta.

Para permanecer en la memoria incluso con escasez de recursos, desactiva el mecanismo Linux OOM Killer. Para ocultarse, el proceso se renombra a libcow.so y se muestra como servicios de sistema habituales — por ejemplo, telnetd o dhclient. En su interior se utiliza una versión modificada del algoritmo RC4 con la clave fija «PJbiNbbeasddDfsc» y pasos adicionales de inicialización, lo que complica el descifrado.

Para comunicarse con los nodos C2, el botnet sigue usando registros TXT en DNS, descifrándolos mediante XOR y dividiendo las cadenas en subdominios. En las últimas compilaciones también apareció un módulo de comprobación de la velocidad de conexión mediante Speedtest, que permite a los autores seleccionar nodos con la mayor capacidad de ancho de banda para futuros ataques.

La combinación del rápido crecimiento, el uso de múltiples vulnerabilidades y métodos complejos de ocultación convierte a AISURU en uno de los botnets más potentes de la historia. Los investigadores recomiendan a los administradores de red actualizar de inmediato el firmware de los enrutadores, supervisar la creación anómala de túneles GRE y analizar con atención los registros TXT inusuales en DNS para frenar a tiempo la propagación de esta amenaza.