Microsoft hôm thứ Hai đã tiết lộ rằng họ tự động phát hiện và vô hiệu hóa một cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào một điểm cuối duy nhất ở Úc, với cường độ 5.72 terabits per second (Tbps) và gần 3.64 tỷ packets per second (pps).
Gã khổng lồ công nghệ cho biết đây là cuộc tấn công DDoS lớn nhất từng được ghi nhận trên đám mây, và nó bắt nguồn từ một botnet IoT lớp TurboMirai được biết đến với tên gọi AISURU. Hiện chưa rõ mục tiêu của cuộc tấn công này là ai.
"Cuộc tấn công bao gồm các trận lũ UDP tốc độ cực cao nhắm vào một địa chỉ IP công cộng cụ thể, được phát động từ hơn 500.000 địa chỉ IP nguồn trên nhiều khu vực khác nhau," Sean Whalen của Microsoft cho biết.
"Những đợt bùng phát UDP đột ngột này có ít hành vi giả mạo nguồn và sử dụng các cổng nguồn ngẫu nhiên, giúp đơn giản hóa việc truy vết và tạo điều kiện cho các nhà cung cấp thực thi các biện pháp phòng ngừa."
Theo dữ liệu từ QiAnXin XLab, botnet AISURU được cung cấp sức mạnh bởi gần 300.000 thiết bị bị lây nhiễm, phần lớn là các router, camera an ninh và hệ thống DVR. Nó đã được gán cho một số cuộc tấn công DDoS lớn nhất được ghi nhận cho đến nay. Trong một báo cáo được công bố vào tháng trước, NETSCOUT phân loại botnet DDoS-for-hire này hoạt động với một lượng khách hàng hạn chế.
"Các nhà điều hành đã báo cáo việc thực hiện các biện pháp phòng ngừa để tránh tấn công các tài sản của chính phủ, cơ quan thực thi pháp luật, quân đội và các tài sản an ninh quốc gia khác," công ty cho biết. "Hầu hết các cuộc tấn công của AISURU được quan sát cho đến nay dường như liên quan đến trò chơi trực tuyến."
Các botnet như AISURU cũng cho phép các chức năng đa dụng, vượt xa các cuộc tấn công DDoS vượt quá 20Tbps để tạo điều kiện cho các hoạt động phi pháp khác như credential stuffing, web scraping được điều khiển bằng artificial intelligence (AI), spamming và phishing. AISURU cũng tích hợp một dịch vụ residential proxy.
"Những kẻ tấn công đang mở rộng quy mô cùng với chính Internet. Khi tốc độ fiber-to-the-home tăng lên và các thiết bị IoT trở nên mạnh mẽ hơn, ngưỡng cơ bản cho quy mô tấn công tiếp tục tăng," Microsoft cho biết.
Tiết lộ này được đưa ra khi NETSCOUT cung cấp chi tiết về một botnet TurboMirai khác có tên là Eleven11 (hay còn gọi là RapperBot), ước tính đã phát động khoảng 3.600 cuộc tấn công DDoS được điều khiển bởi các thiết bị IoT bị chiếm đoạt từ cuối tháng 2 đến tháng 8 năm 2025, cùng thời điểm các cơ quan chức năng công bố một vụ bắt giữ và việc giải thể botnet này.
Một số máy chủ command-and-control (C2) liên quan đến botnet được đăng ký với top-level domain (TLD) ".libre", là một phần của OpenNIC, một DNS root thay thế hoạt động độc lập với ICANN và đã được các botnet DDoS khác như CatDDoS và Fodcha chấp nhận.
"Mặc dù botnet có thể đã bị vô hiệu hóa, các thiết bị bị xâm nhập vẫn dễ bị tổn thương," báo cáo cho biết. "Có khả năng chỉ là vấn đề thời gian cho đến khi các host bị chiếm đoạt trở lại và bị trưng dụng làm node bị xâm nhập cho botnet tiếp theo."
