Botnet DDoS Aisuru Atinge ISPs dos EUA em DDoS Recorde – Krebs on Security
A maior e mais disruptiva botnet do mundo, Aisuru, está utilizando dispositivos IoT comprometidos hospedados em provedores de internet dos EUA para realizar ataques DDoS recordes. A alta concentração de dispositivos infectados em provedores dos EUA dificulta a mitigação dos danos colaterais desses ataques, que atingiram quase 30 terabits por segundo.
MundiX News·13 de abril de 2026·15 min de leitura·👁 3 views
Novas evidências sugerem que a maior e mais disruptiva botnet do mundo está agora concentrando a maior parte de seu poder de fogo em dispositivos de Internet das Coisas (IoT) comprometidos, hospedados em provedores de Internet dos EUA, como AT&T, Comcast e Verizon. Especialistas dizem que a alta concentração de dispositivos infectados em provedores dos EUA está complicando os esforços para limitar os danos colaterais dos ataques da botnet, que quebraram recordes anteriores nesta semana com uma breve inundação de tráfego que atingiu quase 30 trilhões de bits de dados por segundo.
Desde sua estreia há mais de um ano, a botnet Aisuru tem superado de forma constante praticamente todas as outras botnets baseadas em IoT em atividade, com ataques recentes desviando largura de banda da Internet de cerca de 300.000 hosts comprometidos em todo o mundo.
Os sistemas hackeados que são absorvidos pela botnet são principalmente roteadores de nível de consumidor, câmeras de segurança, gravadores de vídeo digital e outros dispositivos que operam com firmware inseguro e desatualizado, e/ou configurações padrão de fábrica. Os proprietários da Aisuru estão continuamente escaneando a Internet em busca desses dispositivos vulneráveis e escravizando-os para uso em ataques de negação de serviço distribuídos (DDoS) que podem sobrecarregar os servidores visados com quantidades paralisantes de tráfego lixo.
À medida que o tamanho da Aisuru aumentou, também aumentou seu poder de ataque. Em maio de 2025, o KrebsOnSecurity foi atingido por um ataque de quase 6,35 terabits por segundo (Tbps) da Aisuru, que na época era o maior ataque que o serviço de proteção DDoS do Google, Project Shield, já havia mitigado. Dias depois, a Aisuru quebrou esse recorde com uma explosão de dados superior a 11 Tbps.
No final de setembro, a Aisuru estava publicamente exibindo capacidades de DDoS superiores a 22 Tbps. Então, em 6 de outubro, seus operadores lançaram impressionantes 29,6 terabits de pacotes de dados lixo por segundo em um host visado. Quase ninguém notou porque parece ter sido um breve teste ou demonstração das capacidades da Aisuru: a inundação de tráfego durou apenas alguns segundos e foi direcionada a um servidor de Internet especificamente projetado para medir ataques DDoS em grande escala.
Uma medição de um DDoS de 6 de outubro que se acredita ter sido lançado através de várias botnets operadas pelos proprietários da botnet Aisuru. Imagem: Comunidade DDoS Analyzer no Telegram.
Os chefões da Aisuru não estão apenas se exibindo. Sua botnet está sendo responsabilizada por uma série de ataques cada vez maiores e disruptivos. Embora os ataques recentes da Aisuru tenham como alvo principalmente ISPs que atendem comunidades de jogos online como Minecraft, esses cercos digitais geralmente resultam em ampla interrupção colateral da Internet.
Nas últimas semanas, os ISPs que hospedam alguns dos principais destinos de jogos da Internet têm sido atingidos por uma saraivada implacável de ataques gigantescos que, segundo especialistas, estão muito além das capacidades de mitigação de DDoS da maioria das organizações conectadas à Internet hoje.
Steven Ferguson é engenheiro de segurança principal da Global Secure Layer (GSL), um ISP em Brisbane, Austrália. A GSL hospeda o TCPShield, que oferece proteção DDoS gratuita ou de baixo custo para mais de 50.000 servidores Minecraft em todo o mundo. Ferguson disse ao KrebsOnSecurity que, em 8 de outubro, o TCPShield foi atingido por um ataque da Aisuru que inundou sua rede com mais de 15 terabits de dados lixo por segundo.
Ferguson disse que, após o ataque diminuir, o TCPShield foi informado por seu provedor upstream OVH de que não eram mais bem-vindos como clientes.
"Isso estava causando séria congestão em suas portas externas de Miami por várias semanas, mostrado publicamente através de seu mapa meteorológico", disse ele, explicando que o TCPShield agora é protegido exclusivamente pela GSL.
Vestígios da recente onda de ataques paralisantes da Aisuru contra servidores de jogos ainda podem ser vistos no site blockgametracker.gg, que indexa o tempo de atividade e inatividade dos principais hosts de Minecraft. No exemplo a seguir, de uma série de dilúvios de dados na noite de 28 de setembro, podemos ver uma campanha da botnet Aisuru derrubando brevemente o TCPShield.
Um ataque da botnet Aisuru ao TCPShield (AS64199) em 28 de setembro pode ser visto no pico gigante para baixo no meio deste gráfico de tempo de atividade. Imagem: grafana.blockgametracker.gg.
Passear pelos mesmos gráficos de tempo de atividade para outros operadores de rede listados mostra que quase todos sofreram interrupções breves, mas repetidas, na mesma época. Aqui está o mesmo rastreamento de tempo de atividade para servidores Minecraft no provedor de rede Cosmic (AS30456), e mostra vários grandes mergulhos que correspondem a interrupções do servidor de jogos causadas pela Aisuru.
Múltiplos ataques DDoS da Aisuru podem ser vistos contra o host Minecraft Cosmic em 28 de setembro. Os picos acentuados para baixo correspondem a ataques breves, mas enormes, da Aisuru. Imagem: grafana.blockgametracker.gg.
BOTNETS R US
Ferguson disse que está rastreando a Aisuru há cerca de três meses e, recentemente, notou que a composição da botnet mudou fortemente para sistemas infectados em ISPs nos Estados Unidos. Ferguson compartilhou logs de um ataque em 8 de outubro que indexou o tráfego pelo volume total enviado através de cada provedor de rede, e os logs mostraram que 11 das 20 principais fontes de tráfego eram ISPs baseados nos EUA.
Os clientes da AT&T foram de longe os maiores contribuintes dos EUA para esse ataque, seguidos por sistemas "botted" na Charter Communications, Comcast, T-Mobile e Verizon, descobriu Ferguson. Ele disse que o volume de pacotes de dados por segundo provenientes de hosts IoT infectados nesses ISPs é frequentemente tão alto que começou a afetar a qualidade do serviço que os ISPs são capazes de fornecer aos clientes adjacentes (não "botted").
"O impacto se estende além das redes vítimas", disse Ferguson. "Por exemplo, vimos 500 gigabits de tráfego através da rede da Comcast sozinha. Essa quantidade de saída deixando sua rede, especialmente sendo tão concentrada no leste dos EUA, resultará em congestionamento em direção a outros serviços ou conteúdo tentando ser alcançado enquanto um ataque está em andamento."
Roland Dobbins é engenheiro principal da Netscout. Dobbins disse que Ferguson está certo, observando que, embora a maioria dos ISPs tenha mitigações eficazes em vigor para lidar com grandes ataques DDoS de entrada, muitos estão muito menos preparados para gerenciar a inevitável degradação do serviço causada por um grande número de seus clientes usando repentinamente parte ou toda a largura de banda disponível para atacar outros.
"Os ataques DDoS de saída e cruzados podem ser tão disruptivos quanto os de entrada", disse Dobbin.
"Estamos agora em uma situação em que os ISPs estão rotineiramente vendo ataques de saída de terabit por segundo ou mais de suas redes que podem causar problemas operacionais."
"A necessidade urgente de supressão de ataque DDoS de saída eficaz e universal é algo que está sendo realmente destacado por esses ataques recentes", continuou Dobbins. "Muitos operadores de rede estão aprendendo essa lição agora, e haverá um período à frente onde haverá alguma confusão e potencial interrupção acontecendo."
O KrebsOnSecurity solicitou comentários dos ISPs mencionados no relatório de Ferguson. A Charter Communications apontou para uma postagem recente no blog sobre como proteger sua rede, afirmando que a Charter monitora ativamente ataques de entrada e saída e que toma medidas proativas sempre que possível.
"Além de nossa própria segurança de rede extensa, também visamos reduzir o risco de dispositivos conectados de clientes contribuírem para ataques através de nossa solução Advanced WiFi que inclui o Security Shield, e disponibilizamos o Security Suite para nossos clientes de Internet", escreveu a Charter em uma resposta por e-mail às perguntas. "Com o número cada vez maior de dispositivos se conectando a redes, incentivamos os clientes a comprar dispositivos confiáveis com práticas de desenvolvimento e fabricação seguras, usar antivírus e ferramentas de segurança em seus dispositivos conectados e baixar regularmente patches de segurança."
Um porta-voz da Comcast respondeu: "Atualmente, nossa rede não está sofrendo impactos e somos capazes de lidar com o tráfego."
9 ANOS DE MIRAI
Aisuru é construída sobre os ossos de código malicioso que foi vazado em 2016 pelos criadores originais da botnet IoT Mirai. Como a Aisuru, a Mirai rapidamente superou todas as outras botnets DDoS em seu auge e obliterou recordes anteriores de ataques DDoS com um cerco de 620 gigabits por segundo que deixou este site de lado por quase quatro dias em 2016.
Os botmasters da Mirai também usaram sua máquina de crime para atacar principalmente servidores Minecraft, mas com o objetivo de forçar os proprietários de servidores Minecraft a comprar um serviço de proteção DDoS que eles controlavam. Além disso, eles alugaram fatias da botnet Mirai para clientes pagantes, alguns dos quais a usaram para mascarar as fontes de outros tipos de cibercrime, como fraude de cliques.
Uma representação das interrupções causadas pelos ataques da botnet Mirai contra a empresa de infraestrutura de internet Dyn em 21 de outubro de 2016. Fonte: Downdetector.com.
Dobbins disse que os proprietários da Aisuru também parecem estar alugando sua botnet como uma rede de proxy distribuída que clientes cibercriminosos em qualquer lugar do mundo podem usar para anonimizar seu tráfego malicioso e fazê-lo parecer estar vindo de usuários residenciais regulares nos EUA.
"As pessoas que operam esta botnet também estão vendendo (ela como) proxies residenciais", disse ele. "E isso está sendo usado para refletir ataques da camada de aplicação através dos proxies nos bots também."
A botnet Aisuru remonta à sua predecessora Mirai de outra forma intrigante. Um de seus proprietários está usando o identificador do Telegram "9gigsofram", que corresponde ao apelido usado pelo co-proprietário de um serviço de proteção de servidor Minecraft chamado Proxypipe que foi fortemente visado em 2016 pelos botmasters originais da Mirai.
Robert Coelho co-dirigia a Proxypipe naquela época junto com seu parceiro de negócios Erik "9gigsofram" Buckingham, e passou os últimos nove anos aprimorando várias empresas de mitigação de DDoS que atendem operadores de servidores Minecraft e outros entusiastas de jogos. Coelho disse que não tem ideia de por que um dos botmasters da Aisuru escolheu o apelido de Buckingham, mas acrescentou que isso pode dizer algo sobre há quanto tempo essa pessoa está envolvida na indústria de DDoS por aluguel.
"Os ataques da Aisuru nas redes de jogos nos últimos sete dias foram absolutamente enormes, e você pode ver toneladas de provedores caindo várias vezes ao dia", disse Coelho.
Coelho disse que o ataque de 15 Tbps desta semana contra o TCPShield foi provavelmente apenas uma porção do volume total de ataque lançado pela Aisuru na época, porque muito disso teria sido empurrado através de redes que simplesmente não conseguiam processar esse volume de tráfego de uma só vez. Tais ataques desproporcionais, disse ele, estão se tornando cada vez mais difíceis e caros de mitigar.
"Definitivamente, chegou ao ponto agora em que você precisa gastar pelo menos um milhão de dólares por mês apenas para ter a capacidade de rede para lidar com esses ataques", disse ele.
PROPAGAÇÃO RÁPIDA
Há muito se rumora que a Aisuru usa múltiplas vulnerabilidades zero-day em dispositivos IoT para auxiliar seu rápido crescimento ao longo do ano passado.
A XLab, a empresa de segurança chinesa que foi a primeira a traçar o perfil da ascensão da Aisuru em 2024, alertou no mês passado que um dos botmasters da Aisuru havia comprometido o site de distribuição de firmware da Totolink, um fabricante de roteadores de baixo custo e outros equipamentos de rede.
"Múltiplas fontes indicam que o grupo supostamente comprometeu um servidor de atualização de firmware de roteador em abril e distribuiu scripts maliciosos para expandir a botnet", escreveu a XLab em 15 de setembro. "O número de nós está atualmente relatado em torno de 300.000."
Um script malicioso implantado em um servidor de atualização da Totolink em abril de 2025. Imagem: XLab.
Os operadores da Aisuru receberam um impulso inesperado para sua máquina de crime em agosto, quando o Departamento de Justiça dos EUA acusou o suposto proprietário da Rapper Bot, uma botnet de DDoS por aluguel que competia diretamente com a Aisuru pelo controle sobre o pool global de sistemas IoT vulneráveis.
Uma vez que a Rapper Bot foi desmantelada, os curadores da Aisuru se moveram rapidamente para requisitar dispositivos IoT vulneráveis que foram repentinamente deixados à deriva pela derrubada do governo, disse Dobbins.
"Pessoas foram presas e os servidores de controle da Rapper Bot foram apreendidos e isso é ótimo, mas infelizmente os ativos de ataque da botnet foram então divididos pelas botnets restantes", disse ele. "O problema é que, mesmo que esses dispositivos IoT infectados sejam reinicializados e limpos, eles ainda serão re-comprometidos por algo mais geralmente dentro de minutos após serem reconectados."
Uma captura de tela compartilhada pela XLabs mostrando os botmasters da Aisuru recentemente celebrando um DDoS recorde de 7,7 Tbps. O usuário no topo adotou o nome "Ethan J. Foltz" em uma homenagem zombeteira ao suposto operador da Rapper Bot que foi preso e acusado em agosto de 2025.
BOTMASTERS À SOLTA
A postagem no blog de setembro da XLab citou múltiplas fontes não identificadas dizendo que a Aisuru é operada por três cibercriminosos: "Snow", que é responsável pelo desenvolvimento da botnet; "Tom", encarregado de encontrar novas vulnerabilidades; e "Forky", responsável pelas vendas da botnet.
O KrebsOnSecurity entrevistou Forky em nossa história de maio de 2025 sobre o ataque recorde de 6,3 Tbps da Aisuru. Essa história identificou Forky como um homem de 21 anos de São Paulo, Brasil, que tem sido extremamente ativo na cena de DDoS por aluguel desde pelo menos 2022. O FBI apreendeu os domínios de DDoS por aluguel de Forky várias vezes ao longo dos anos.
Como os botmasters originais da Mirai, Forky também opera um serviço de mitigação de DDoS chamado Botshield. Forky se recusou a discutir a composição da clientela de seu ISP, ou a esclarecer se a Botshield era mais um provedor de hospedagem ou uma empresa de mitigação de DDoS. No entanto, Forky postou no Telegram sobre a Botshield mitigando com sucesso grandes ataques DDoS lançados contra outros serviços de DDoS por aluguel.
Em nossa entrevista anterior, Forky reconheceu estar envolvido no desenvolvimento e marketing da Aisuru, mas negou participar de ataques lançados pela botnet.
Contactado para comentar no início deste mês, Forky continuou a manter a sua inocência, alegando que também ainda está a tentar descobrir quem são os atuais operadores da botnet Aisuru na vida real (Forky disse a mesma coisa na nossa entrevista de maio).
Mas depois de uma semana prometendo detalhes suculentos, Forky voltou de mãos vazias mais uma vez. Suspeitando que Forky estava apenas sendo tímido, perguntei-lhe como alguém tão conectado ao mundo de DDoS por aluguel ainda poderia estar perplexo sobre este ponto, e sugeri que sua incapacidade ou falta de vontade de culpar qualquer outra pessoa pela Aisuru não ajudaria exatamente seu caso.
Com isso, Forky verbalmente se irritou ao ser pressionado por mais detalhes e encerrou abruptamente nossa entrevista.
"Não estou aqui para ser ameaçado com ignorância porque você está estressado", respondeu Forky. "Eles estão me culpando por esses novos ataques. Praticamente o mundo inteiro (está) devido ao seu blog."
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Novas evidências sugerem que a maior e mais disruptiva botnet do mundo está agora concentrando a maior parte de seu poder de fogo em dispositivos de Internet das Coisas (IoT) comprometidos, hospedados em provedores de Internet dos EUA, como AT&T, Comcast e Verizon. Especialistas dizem que a alta concentração de dispositivos infectados em provedores dos EUA está complicando os esforços para limitar os danos colaterais dos ataques da botnet, que quebraram recordes anteriores nesta semana com uma breve inundação de tráfego que atingiu quase 30 trilhões de bits de dados por segundo.
Desde sua estreia há mais de um ano, a botnet Aisuru tem superado de forma constante praticamente todas as outras botnets baseadas em IoT em atividade, com ataques recentes desviando largura de banda da Internet de cerca de 300.000 hosts comprometidos em todo o mundo.
Os sistemas hackeados que são absorvidos pela botnet são principalmente roteadores de nível de consumidor, câmeras de segurança, gravadores de vídeo digital e outros dispositivos que operam com firmware inseguro e desatualizado, e/ou configurações padrão de fábrica. Os proprietários da Aisuru estão continuamente escaneando a Internet em busca desses dispositivos vulneráveis e escravizando-os para uso em ataques de negação de serviço distribuídos (DDoS) que podem sobrecarregar os servidores visados com quantidades paralisantes de tráfego lixo.
À medida que o tamanho da Aisuru aumentou, também aumentou seu poder de ataque. Em maio de 2025, o KrebsOnSecurity foi atingido por um ataque de quase 6,35 terabits por segundo (Tbps) da Aisuru, que na época era o maior ataque que o serviço de proteção DDoS do Google, Project Shield, já havia mitigado. Dias depois, a Aisuru quebrou esse recorde com uma explosão de dados superior a 11 Tbps.
No final de setembro, a Aisuru estava publicamente exibindo capacidades de DDoS superiores a 22 Tbps. Então, em 6 de outubro, seus operadores lançaram impressionantes 29,6 terabits de pacotes de dados lixo por segundo em um host visado. Quase ninguém notou porque parece ter sido um breve teste ou demonstração das capacidades da Aisuru: a inundação de tráfego durou apenas alguns segundos e foi direcionada a um servidor de Internet especificamente projetado para medir ataques DDoS em grande escala.
Uma medição de um DDoS de 6 de outubro que se acredita ter sido lançado através de várias botnets operadas pelos proprietários da botnet Aisuru. Imagem: Comunidade DDoS Analyzer no Telegram.
Os chefões da Aisuru não estão apenas se exibindo. Sua botnet está sendo responsabilizada por uma série de ataques cada vez maiores e disruptivos. Embora os ataques recentes da Aisuru tenham como alvo principalmente ISPs que atendem comunidades de jogos online como Minecraft, esses cercos digitais geralmente resultam em ampla interrupção colateral da Internet.
Nas últimas semanas, os ISPs que hospedam alguns dos principais destinos de jogos da Internet têm sido atingidos por uma saraivada implacável de ataques gigantescos que, segundo especialistas, estão muito além das capacidades de mitigação de DDoS da maioria das organizações conectadas à Internet hoje.
Steven Ferguson é engenheiro de segurança principal da Global Secure Layer (GSL), um ISP em Brisbane, Austrália. A GSL hospeda o TCPShield, que oferece proteção DDoS gratuita ou de baixo custo para mais de 50.000 servidores Minecraft em todo o mundo. Ferguson disse ao KrebsOnSecurity que, em 8 de outubro, o TCPShield foi atingido por um ataque da Aisuru que inundou sua rede com mais de 15 terabits de dados lixo por segundo.
Ferguson disse que, após o ataque diminuir, o TCPShield foi informado por seu provedor upstream OVH de que não eram mais bem-vindos como clientes.
"Isso estava causando séria congestão em suas portas externas de Miami por várias semanas, mostrado publicamente através de seu mapa meteorológico", disse ele, explicando que o TCPShield agora é protegido exclusivamente pela GSL.
Vestígios da recente onda de ataques paralisantes da Aisuru contra servidores de jogos ainda podem ser vistos no site blockgametracker.gg, que indexa o tempo de atividade e inatividade dos principais hosts de Minecraft. No exemplo a seguir, de uma série de dilúvios de dados na noite de 28 de setembro, podemos ver uma campanha da botnet Aisuru derrubando brevemente o TCPShield.
Um ataque da botnet Aisuru ao TCPShield (AS64199) em 28 de setembro pode ser visto no pico gigante para baixo no meio deste gráfico de tempo de atividade. Imagem: grafana.blockgametracker.gg.
Passear pelos mesmos gráficos de tempo de atividade para outros operadores de rede listados mostra que quase todos sofreram interrupções breves, mas repetidas, na mesma época. Aqui está o mesmo rastreamento de tempo de atividade para servidores Minecraft no provedor de rede Cosmic (AS30456), e mostra vários grandes mergulhos que correspondem a interrupções do servidor de jogos causadas pela Aisuru.
Múltiplos ataques DDoS da Aisuru podem ser vistos contra o host Minecraft Cosmic em 28 de setembro. Os picos acentuados para baixo correspondem a ataques breves, mas enormes, da Aisuru. Imagem: grafana.blockgametracker.gg.
BOTNETS R US
Ferguson disse que está rastreando a Aisuru há cerca de três meses e, recentemente, notou que a composição da botnet mudou fortemente para sistemas infectados em ISPs nos Estados Unidos. Ferguson compartilhou logs de um ataque em 8 de outubro que indexou o tráfego pelo volume total enviado através de cada provedor de rede, e os logs mostraram que 11 das 20 principais fontes de tráfego eram ISPs baseados nos EUA.
Os clientes da AT&T foram de longe os maiores contribuintes dos EUA para esse ataque, seguidos por sistemas "botted" na Charter Communications, Comcast, T-Mobile e Verizon, descobriu Ferguson. Ele disse que o volume de pacotes de dados por segundo provenientes de hosts IoT infectados nesses ISPs é frequentemente tão alto que começou a afetar a qualidade do serviço que os ISPs são capazes de fornecer aos clientes adjacentes (não "botted").
"O impacto se estende além das redes vítimas", disse Ferguson. "Por exemplo, vimos 500 gigabits de tráfego através da rede da Comcast sozinha. Essa quantidade de saída deixando sua rede, especialmente sendo tão concentrada no leste dos EUA, resultará em congestionamento em direção a outros serviços ou conteúdo tentando ser alcançado enquanto um ataque está em andamento."
Roland Dobbins é engenheiro principal da Netscout. Dobbins disse que Ferguson está certo, observando que, embora a maioria dos ISPs tenha mitigações eficazes em vigor para lidar com grandes ataques DDoS de entrada, muitos estão muito menos preparados para gerenciar a inevitável degradação do serviço causada por um grande número de seus clientes usando repentinamente parte ou toda a largura de banda disponível para atacar outros.
"Os ataques DDoS de saída e cruzados podem ser tão disruptivos quanto os de entrada", disse Dobbin.
"Estamos agora em uma situação em que os ISPs estão rotineiramente vendo ataques de saída de terabit por segundo ou mais de suas redes que podem causar problemas operacionais."
"A necessidade urgente de supressão de ataque DDoS de saída eficaz e universal é algo que está sendo realmente destacado por esses ataques recentes", continuou Dobbins. "Muitos operadores de rede estão aprendendo essa lição agora, e haverá um período à frente onde haverá alguma confusão e potencial interrupção acontecendo."
O KrebsOnSecurity solicitou comentários dos ISPs mencionados no relatório de Ferguson. A Charter Communications apontou para uma postagem recente no blog sobre como proteger sua rede, afirmando que a Charter monitora ativamente ataques de entrada e saída e que toma medidas proativas sempre que possível.
"Além de nossa própria segurança de rede extensa, também visamos reduzir o risco de dispositivos conectados de clientes contribuírem para ataques através de nossa solução Advanced WiFi que inclui o Security Shield, e disponibilizamos o Security Suite para nossos clientes de Internet", escreveu a Charter em uma resposta por e-mail às perguntas. "Com o número cada vez maior de dispositivos se conectando a redes, incentivamos os clientes a comprar dispositivos confiáveis com práticas de desenvolvimento e fabricação seguras, usar antivírus e ferramentas de segurança em seus dispositivos conectados e baixar regularmente patches de segurança."
Um porta-voz da Comcast respondeu: "Atualmente, nossa rede não está sofrendo impactos e somos capazes de lidar com o tráfego."
9 ANOS DE MIRAI
Aisuru é construída sobre os ossos de código malicioso que foi vazado em 2016 pelos criadores originais da botnet IoT Mirai. Como a Aisuru, a Mirai rapidamente superou todas as outras botnets DDoS em seu auge e obliterou recordes anteriores de ataques DDoS com um cerco de 620 gigabits por segundo que deixou este site de lado por quase quatro dias em 2016.
Os botmasters da Mirai também usaram sua máquina de crime para atacar principalmente servidores Minecraft, mas com o objetivo de forçar os proprietários de servidores Minecraft a comprar um serviço de proteção DDoS que eles controlavam. Além disso, eles alugaram fatias da botnet Mirai para clientes pagantes, alguns dos quais a usaram para mascarar as fontes de outros tipos de cibercrime, como fraude de cliques.
Uma representação das interrupções causadas pelos ataques da botnet Mirai contra a empresa de infraestrutura de internet Dyn em 21 de outubro de 2016. Fonte: Downdetector.com.
Dobbins disse que os proprietários da Aisuru também parecem estar alugando sua botnet como uma rede de proxy distribuída que clientes cibercriminosos em qualquer lugar do mundo podem usar para anonimizar seu tráfego malicioso e fazê-lo parecer estar vindo de usuários residenciais regulares nos EUA.
"As pessoas que operam esta botnet também estão vendendo (ela como) proxies residenciais", disse ele. "E isso está sendo usado para refletir ataques da camada de aplicação através dos proxies nos bots também."
A botnet Aisuru remonta à sua predecessora Mirai de outra forma intrigante. Um de seus proprietários está usando o identificador do Telegram "9gigsofram", que corresponde ao apelido usado pelo co-proprietário de um serviço de proteção de servidor Minecraft chamado Proxypipe que foi fortemente visado em 2016 pelos botmasters originais da Mirai.
Robert Coelho co-dirigia a Proxypipe naquela época junto com seu parceiro de negócios Erik "9gigsofram" Buckingham, e passou os últimos nove anos aprimorando várias empresas de mitigação de DDoS que atendem operadores de servidores Minecraft e outros entusiastas de jogos. Coelho disse que não tem ideia de por que um dos botmasters da Aisuru escolheu o apelido de Buckingham, mas acrescentou que isso pode dizer algo sobre há quanto tempo essa pessoa está envolvida na indústria de DDoS por aluguel.
"Os ataques da Aisuru nas redes de jogos nos últimos sete dias foram absolutamente enormes, e você pode ver toneladas de provedores caindo várias vezes ao dia", disse Coelho.
Coelho disse que o ataque de 15 Tbps desta semana contra o TCPShield foi provavelmente apenas uma porção do volume total de ataque lançado pela Aisuru na época, porque muito disso teria sido empurrado através de redes que simplesmente não conseguiam processar esse volume de tráfego de uma só vez. Tais ataques desproporcionais, disse ele, estão se tornando cada vez mais difíceis e caros de mitigar.
"Definitivamente, chegou ao ponto agora em que você precisa gastar pelo menos um milhão de dólares por mês apenas para ter a capacidade de rede para lidar com esses ataques", disse ele.
PROPAGAÇÃO RÁPIDA
Há muito se rumora que a Aisuru usa múltiplas vulnerabilidades zero-day em dispositivos IoT para auxiliar seu rápido crescimento ao longo do ano passado.
A XLab, a empresa de segurança chinesa que foi a primeira a traçar o perfil da ascensão da Aisuru em 2024, alertou no mês passado que um dos botmasters da Aisuru havia comprometido o site de distribuição de firmware da Totolink, um fabricante de roteadores de baixo custo e outros equipamentos de rede.
"Múltiplas fontes indicam que o grupo supostamente comprometeu um servidor de atualização de firmware de roteador em abril e distribuiu scripts maliciosos para expandir a botnet", escreveu a XLab em 15 de setembro. "O número de nós está atualmente relatado em torno de 300.000."
Um script malicioso implantado em um servidor de atualização da Totolink em abril de 2025. Imagem: XLab.
Os operadores da Aisuru receberam um impulso inesperado para sua máquina de crime em agosto, quando o Departamento de Justiça dos EUA acusou o suposto proprietário da Rapper Bot, uma botnet de DDoS por aluguel que competia diretamente com a Aisuru pelo controle sobre o pool global de sistemas IoT vulneráveis.
Uma vez que a Rapper Bot foi desmantelada, os curadores da Aisuru se moveram rapidamente para requisitar dispositivos IoT vulneráveis que foram repentinamente deixados à deriva pela derrubada do governo, disse Dobbins.
"Pessoas foram presas e os servidores de controle da Rapper Bot foram apreendidos e isso é ótimo, mas infelizmente os ativos de ataque da botnet foram então divididos pelas botnets restantes", disse ele. "O problema é que, mesmo que esses dispositivos IoT infectados sejam reinicializados e limpos, eles ainda serão re-comprometidos por algo mais geralmente dentro de minutos após serem reconectados."
Uma captura de tela compartilhada pela XLabs mostrando os botmasters da Aisuru recentemente celebrando um DDoS recorde de 7,7 Tbps. O usuário no topo adotou o nome "Ethan J. Foltz" em uma homenagem zombeteira ao suposto operador da Rapper Bot que foi preso e acusado em agosto de 2025.
BOTMASTERS À SOLTA
A postagem no blog de setembro da XLab citou múltiplas fontes não identificadas dizendo que a Aisuru é operada por três cibercriminosos: "Snow", que é responsável pelo desenvolvimento da botnet; "Tom", encarregado de encontrar novas vulnerabilidades; e "Forky", responsável pelas vendas da botnet.
O KrebsOnSecurity entrevistou Forky em nossa história de maio de 2025 sobre o ataque recorde de 6,3 Tbps da Aisuru. Essa história identificou Forky como um homem de 21 anos de São Paulo, Brasil, que tem sido extremamente ativo na cena de DDoS por aluguel desde pelo menos 2022. O FBI apreendeu os domínios de DDoS por aluguel de Forky várias vezes ao longo dos anos.
Como os botmasters originais da Mirai, Forky também opera um serviço de mitigação de DDoS chamado Botshield. Forky se recusou a discutir a composição da clientela de seu ISP, ou a esclarecer se a Botshield era mais um provedor de hospedagem ou uma empresa de mitigação de DDoS. No entanto, Forky postou no Telegram sobre a Botshield mitigando com sucesso grandes ataques DDoS lançados contra outros serviços de DDoS por aluguel.
Em nossa entrevista anterior, Forky reconheceu estar envolvido no desenvolvimento e marketing da Aisuru, mas negou participar de ataques lançados pela botnet.
Contactado para comentar no início deste mês, Forky continuou a manter a sua inocência, alegando que também ainda está a tentar descobrir quem são os atuais operadores da botnet Aisuru na vida real (Forky disse a mesma coisa na nossa entrevista de maio).
Mas depois de uma semana prometendo detalhes suculentos, Forky voltou de mãos vazias mais uma vez. Suspeitando que Forky estava apenas sendo tímido, perguntei-lhe como alguém tão conectado ao mundo de DDoS por aluguel ainda poderia estar perplexo sobre este ponto, e sugeri que sua incapacidade ou falta de vontade de culpar qualquer outra pessoa pela Aisuru não ajudaria exatamente seu caso.
Com isso, Forky verbalmente se irritou ao ser pressionado por mais detalhes e encerrou abruptamente nossa entrevista.
"Não estou aqui para ser ameaçado com ignorância porque você está estressado", respondeu Forky. "Eles estão me culpando por esses novos ataques. Praticamente o mundo inteiro (está) devido ao seu blog."
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
