De 11,8 a 44 Gbps: de Tor a dispositivos IoT y de Marruecos a la India — la anatomía de una campaña DDoS de ocho meses

Desde comienzos de 2025 los especialistas de NETSCOUT registran una ola activa de ataques DDoS, que, según se supone, son obra de miembros del grupo Keymous+. Entre febrero y septiembre se registraron 249 incidentes de este tipo, que afectaron a 60 organizaciones en 15 países y 21 sectores.

Según la telemetría de ATLAS, en estas ataques se emplearon tanto métodos estándar de saturación de tráfico como escenarios multivectoriales que utilizaban varios canales simultáneamente. Los golpes especialmente potentes ocurrieron junto con otro grupo — DDoS54: en ese caso la capacidad de las ataques aumentó casi cuatro veces — de 11,8 a 44 Gbit/s.

La mayoría de los ataques afectó a instituciones gubernamentales, la industria hotelera y turística, la logística, los servicios financieros y de telecomunicaciones. El mayor número de incidentes se registró en Marruecos, Arabia Saudita, Sudán, India y Francia. Esta distribución geográfica sugiere que la motivación puede ser tanto financiera como política, especialmente dada la frecuencia de ataques en la región de Oriente Medio y Norte de África.

El análisis de patrones temporales muestra que las acciones de Keymous+ están organizadas con alta precisión. Casi un tercio de todos los ataques se concentró en una hora — alrededor de las 06:00 UTC. Ese periodo coincide con la actividad matutina en los países objetivo, cuando abren las oficinas estatales, se intensifican los sistemas de transporte, comienzan las operaciones en los mercados y se registran huéspedes en los hoteles.

En esos momentos, debido al incremento del tráfico legítimo y a los equipos SOC que aún no están plenamente operativos, la aislamiento de los flujos maliciosos es especialmente difícil. Además, se observaron picos secundarios a la 01:00, 10:00 y 12:00 UTC, así como ausencia total de actividad en algunas horas, lo que puede indicar limitaciones internas o dependencia de infraestructura alquilada.

Los propios ataques se basaron en el uso de un amplio conjunto de infraestructuras: desde nodos de la red Tor y instancias en la nube hasta dispositivos IoT domésticos, servicios VPN y proxies. De media, cada ataque empleó más de 42 000 direcciones IP únicas, y en algunos casos cientos de miles. La mayor parte del tráfico mostraba señales de suplantación de IP, lo que indica el uso de servicios comerciales de DDoS con capacidad de enmascaramiento bajo ASN de proveedores y centros de datos conocidos.

Entre las técnicas empleadas se incluyen ataques reflejados con amplificación (basados en protocolos CLDAP, DNS, memcached, NTP, SNMP, rpcbind y otros), así como floods directos por TCP, UDP y consultas DNS. La flexibilidad en la elección de herramientas, la escala y la participación en la campaña DDoS54 apuntan a una creciente ciberamenaza por parte de Keymous+. Tras el anuncio público de esta asociación el 12 de abril, los especialistas de NETSCOUT registraron un aumento significativo de la potencia y la complejidad de la carga vectorial, incluyendo ataques combinados con amplificaciones CLDAP y DNS, floods UDP y otras técnicas.

Aunque la participación de otros grupos como NoName057(16), Dark Storm Team o Anonymous Gaza no ha sido confirmada, los datos de fuentes abiertas permiten una posible conexión. La única colaboración oficialmente registrada sigue siendo la interacción con DDoS54, confirmada tanto por una declaración pública como por datos telemétricos coincidentes.

Resumen breve de la campaña en ocho meses: casi 250 ataques, que afectaron a quince países y decenas de empresas. A pesar de la aparente sencillez de las técnicas empleadas, Keymous+ demostró un alto nivel de organización, un amplio arsenal de métodos y la capacidad de escalar ataques a través de aliados. Esto señala la necesidad de revisar las estrategias de defensa contra ataques DDoS, especialmente en sectores con infraestructura vulnerable o crítica.