Aisuru, le botnet né à Mirai, ciblait les réseaux alimentant les géants du jeu en ligne et envoyant 29,6 Tbit/s de trafic DDoS via des routeurs infectés.
Une campagne d’attaque récemment révélée liée au botnet IoT Aisuru a entraîné une augmentation massive du trafic malveillant, perturbant temporairement les principales plateformes de jeux en ligne, avec près de 29,6 Tbps de paquets DDoS.
Selon les journaux partagés par les ingénieurs de sécurité, l’incident n’a duré que quelques secondes le 8 octobre 2025, la majeure partie de la puissance du botnet se trouvant dans des appareils compromis – routeurs domestiques, caméras IP et DVR – hébergés par les principaux FAI américains comme AT&T, Comcast, Verizon, T-Mobile et Charter.
« Les FAI hébergeant certaines des principales destinations de jeux sur Internet ont été frappés par une volée incessante d’attaques gargantuesques qui, selon les experts, dépassent largement les capacités d’atténuation des attaques DDoS de la plupart des organisations connectées à Internet aujourd’hui », a déclaré le journaliste d’investigation en cybersécurité Brian Krebs dans un article de blog.
Krebs a noté que même si les récentes attaques d’Aisuru ciblaient uniquement les FAI desservant des communautés de jeux en ligne telles que Minecraft, ces sièges DDoS entraînent souvent des perturbations généralisées d’Internet.
Les FAI transformés en rampes de lancement de botnets
Selon l’analyse, la majorité du trafic d’Aisuru provient désormais des réseaux des FAI américains. Les journaux de la récente attaque ont montré que 11 des 20 principales sources de trafic étaient ces FAI. Étant donné qu’un grand nombre de points de terminaison infectés se trouvent sur les réseaux grand public américains, les FAI sont désormais confrontés à des augmentations de trafic sortant, et ne se contentent pas de se défendre contre les attaques entrantes, a ajouté Krebs.
Ce changement signifie que les FAI doivent désormais s’efforcer de maintenir l’intégrité des services, non seulement pour les victimes de DDoS, mais aussi pour leurs propres clients non compromis dont les performances peuvent souffrir lorsque les appareils voisins deviennent des nœuds d’attaque.
Krebs a cité Steven Ferguson, ingénieur principal en sécurité chez Global Secure Layer (GSL), qui héberge la protection DDoS TCPShield sur plus de 50 000 serveurs Minecraft dans le monde, rapportant que TCPShield a été inondé de plus de 15 térabits de trafic indésirable par seconde le 8 octobre. n’est plus le bienvenu en tant que client », a ajouté Krebs.
Il convient de noter que la vague du 8 octobre n’était pas un épisode isolé. Les précédentes télémétries de Ferguson ont montré qu’Aisuru avait déjà lancé des attaques majeures à la mi-septembre, notamment une série de frappes de plusieurs térabits ciblant les réseaux desservant les communautés de jeux en ligne populaires, notamment les serveurs Minecraft, Steam et les jeux Riot.
Les attaques de septembre ont probablement servi de préparation à la vague massive qui a suivi quelques semaines plus tard.
Des racines de Mirai aux ventes par procuration
Aisuru n’est pas nouveau. Ses fondements remontent à une fuite de code du botnet Mirai IoT de 2016, qui a tenu « KrebsOnSecurity », le blog d’investigation dirigé par Krebs, hors ligne pendant quatre jours. « L’attaque de 2016 était si importante qu’Akamai – qui fournissait à l’époque une protection DDoS bénévole pour KrebsOnSecurity – m’a demandé de quitter son service parce que l’attaque causait des problèmes à ses clients payants », avait alors déclaré Krebs.
Cette fois, les opérateurs d’Aisuru semblent monétiser et étendre leur création. On pense désormais que le botnet joue un double rôle, agissant comme un moteur DDoS tout en fonctionnant également comme un réseau proxy résidentiel. Ces proxys permettent aux cybercriminels d’acheminer leurs attaques via des appareils domestiques américains « légitimes », masquant ainsi la véritable origine du trafic malveillant. Krebs a également cité des chercheurs en sécurité qui pensent qu’une compromission de l’infrastructure de distribution du micrologiciel du routeur, avec une violation présumée du serveur de micrologiciels de Totolink en avril 2025, aurait pu accélérer l’inscription des appareils dans les rangs d’Aisuru. Le moment du démantèlement d’un botnet rival (Rapper Bot) en août 2025 a peut-être également permis à Aisuru d’absorber les appareils infectés abandonnés, stimulant ainsi sa croissance.
