Dünya çapında tahmini 300.000 uzlaştırılmış yönlendiriciden yararlanan yeni tanımlanan Aisuru Botnet, Eylül 2025’te rekor kırıcı 11.5 TBPS Dağıtılmış Hizmet Reddi (DDOS) saldırısının arkasındaki güç olarak tespit edildi.
Bu eşi benzeri görülmemiş saldırı, yılın başlarında görülen önceki 5.8 Tbps zirvesini tutar ve botnet ölçeğinde ve sofistike tehlikeli bir yükselişin altını çizer.
İlk olarak XLAB tarafından Ağustos 2024’te açıklanan Aisuru, XLAB’ın Siber Tehdit Analiz ve Analiz Sistemi’nin (CTIA) taze örnekleri yakalamaya başladığı Mart 2025’te yeniden ortaya çıktı.
Anonim bir Insider’a göre, gruba Snow (BotNet Development), Tom (güvenlik açığı araştırması) ve Forky (Botnet Sales) adlı üç operatör tarafından yönetiliyor.
Nisan 2025’te Tom, Aisuru kötü amaçlı yazılımlarını indirmek için aygıtları yönlendiren kötü amaçlı bir komut dosyası (T.SH) ekleyerek bir Totolink yönlendirici ürün yazılımı güncelleme sunucusunun uzlaşmasını düzenledi.
Botnet haftalar içinde 100.000 düğümü geçti ve sonuçta dünya çapında yaklaşık 300.000 enfekte yönlendiriciye zirve yaptı.
XLab’ın CTIA’sı, Aisuru altyapısına güçlü bir görünürlük sunar, örnek toplama, komut ve kontrol C2 sunucuları ve saldırı telemetrisini kapsar.
Botnet yönetim panelinin çapraz referans sızdırmaz ekran görüntüleri-toplam 300.000’den fazla Çin düğümünü gösteren-ve Cloudflare hafifletme günlükleri, içeriden gelenlerin iddialarının doğrulanmasına ve Aisuru’nun suçluluğunu birkaç rekor kıran saldırıda oluşturmaya yardımcı oldu.
Yayılma ve Saldırı İstatistikleri
Aisuru örnekleri, yayılmak için çeşitli güvenlik açıklarından yararlanır. Çoğu enfeksiyon halka açık “N-Day” kusurları yoluyla yayılırken, botnet ilk olarak Haziran 2024’te gözlemlenen Cambium Networks CNPilot yönlendiricilerinde sıfır günden yararlanmaya devam ediyor.
Bir ay içinde küresel olarak 672.588 sıraya yükseldi ve Aisuru Grubunun enfeksiyon kampanyasının son derece başarılı olduğunu kanıtladı.
İstismar edilen güvenlik açıkları arasında CVE-2017-5259 (CambiumNetworks), CVE-2023-28771 (Zyxel cihazları), CVE-2023-50381 (Realtek Jungle SDK) ve 2013’e kadar uzanan çok sayıda DVR ve Kapı Kalıpları bulunmaktadır.
Bu geniş güvenlik açığı tuvali, Aisuru’nun geniş bir yönlendirici ve IoT cihazlarına sızmasına izin verir.
Saldırı verileri, Çin, Amerika Birleşik Devletleri, Almanya, İngiltere ve Hong Kong’daki yüzlerce kuruluşu hedefleyen günlük DDOS kampanyalarını fark edilebilir sektör önyargısı olmadan ortaya koyuyor.
Özellikle, Aisuru, Cloudflare’nin Nisan ayında azaltıldığı ve daha sonra dört C2 IP’de (151.242.2.22-25) yapılandırılmış GRE tünelleri aracılığıyla trafiği yükselterek ve dünya çapında işletmelerden kaçan GRE tünelleri aracılığıyla Eylül ayında 11.5 tbps’ye kadar yükselen 5.8 TBPS saldırısı gerçekleştirdi.
Teknik bilgiler
Aisuru’nun sürüm 2 bot örneğinin analizi, gelişmiş anti-analiz ve kaçırma önlemlerini ortaya koymaktadır.
Başlangıçta, kötü amaçlı yazılım işlem adlarını ve donanım tanımlayıcıları – örneğin, “Wireshark”, “Virtualbox” ve “qemu” – ve dinamik incelemeyi engellemek için algılanırsa çıkar. “-1000” yazarak Linux’un OOM katilini devre dışı bırakır. /proc/self/oom_score_adjhafıza basıncı altında bile kalıcı bir şekilde yürütülmesini sağlamak.
Rakip botnet “öldür” taktiklerine direnmek için, ikili haritalar kütüphaneleri paylaştı /lib/kendini yeniden adlandırıyor libcow.sove süreç adını “telnetd” ve “dhclient” gibi ortak daemons olarak gizler.
Şifreleme rutinleri de standart uygulamalardan ayrılır. AISURU’nun değiştirilmiş RC4 algoritması sabit bir anahtar kullanır (“PJBinBBeArddDFSC”), başlatma sırasında özel bozulmalar sunar ve tohum bazlı durum değişikliklerini bitsel işlemlerle harmanlayan ısmarlama bir tuş akışı üretim sürecini entegre eder.
Bu varyant, örneğe gömülü bir durgunluk sonrası mesajla gösterildiği gibi, vanilya RC4’ten çok daha dayanıklı bir şekilde komut dizilerini ve iletişim anahtarlarını şifresini çözer.
C2 Ekstraksiyonu, TXT kayıtlarını XOR (önceki ChaCha20 kullanımını terk etmek) aracılığıyla kod çözmenin eski yöntemini korur, ‘| ve ‘,’ alt alanlarını numaralandırmak.
Son yapılarda, düğüm performans metriklerini C2’ye geri bildirmek ve gelecekteki kampanyalar için yüksek bant genişliği vekillerinin işe alınmasını kolaylaştıran isteğe bağlı bir ağ hız test modülü-hız testi uç noktalarının kaldırılması-bulunur.
Aisuru’nun hızlı büyümesi, çok vektörel yayılımı ve sofistike kaçış teknikleri bunu tarihin en zorlu botnetlerinden biri olarak konumlandırıyor.
Güvenlik ekipleri, bilinen yönlendirici güvenlik açıklarına öncelik vermeli, anormal GRE tünel kuruluşunu izlemeli ve Aisuru’nun operasyonlarını tespit etmek ve bozmak için DNS-TXT kayıt anomalilerini incelemelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.