A segunda-feira começou agitada nos bastidores da Microsoft. A empresa revelou que bloqueou automaticamente um ataque DDoS de proporções absurdas: 15.72 terabits por segundo e quase 3.64 bilhões de pacotes por segundo despejados contra um único ponto na Austrália. Nada mal para uma segunda-feira, né?
Segundo a gigante, essa pancada digital veio de um botnet da linha TurboMirai, mais precisamente o famigerado AISURU, uma rede de dispositivos IoT zumbis tipo roteadores, câmeras de segurança e DVRs que já é conhecida por assinar algumas das maiores DDoS dos últimos tempos.
O ataque foi composto por rajadas massivas de pacotes UDP, com mais de 500 mil IPs de origem espalhados pelo mundo. O detalhe curioso? Pouca falsificação de IP e portas aleatórias o que ironicamente ajudou os times da Microsoft a rastrear os responsáveis e chamar os provedores pra conversa.
Quem estava na mira do ataque? Ainda é um mistério.
Os dados da QiAnXin XLab estimam que o AISURU controla perto de 300 mil dispositivos comprometidos e opera com uma clientela seletiva nada de atacar governos, forças armadas ou infraestruturas críticas. Eles focam em alvos mais “discretos”, geralmente ligados a disputas em jogos online.
Mas o AISURU não vive só de DDoS. Ele também atua como serviço de proxy residencial e serve de trampolim para outras atividades espertas como phishing, spam, scraping com IA e até ataques de preenchimento de credenciais. O botnet escala junto com a internet e conforme a velocidade da fibra cresce e os dispositivos ganham mais poder, o tamanho das pancadas só tende a subir.
No mesmo fôlego, a NETSCOUT apontou outro botnet da linhagem TurboMirai: o Eleven11, também conhecido como RapperBot. Entre fevereiro e agosto de 2025, ele teria disparado mais de 3.600 ataques com base em IoT comprometidos. Parte dos servidores de comando e controle do RapperBot usam o domínio .libre, um TLD alternativo operado fora do radar da ICANN, muito amado por botnets como o CatDDoS e o Fodcha.
Apesar de a rede Eleven11 ter sido teoricamente desativada após prisões e desmantelamentos recentes, os dispositivos infectados seguem vulneráveis e prontos para serem cooptados por qualquer botnet de plantão.
DDoS continua evoluindo. E enquanto isso, a galera segue ligando câmera de segurança direto no roteador sem mudar a senha padrão.
