Quelques semaines après le pic à 29,7 Tb/s observé par Cloudflare, le botnet Aisuru signe une nouvelle offensive culminant à plus de 30 Tb/s et des centaines de millions de requêtes par seconde. Une campagne visant surtout les télécoms, absorbée sans incident visible, qui confirme la normalisation des attaques multitérabits.
Aisuru continue de faire grimper les compteurs. Dans son dernier rapport, Cloudflare est revenu sur une campagne attribuée au botnet, stoppée le 19 décembre 2025, dont l’un des pics a atteint 31,4 Tb/s au niveau réseau, tandis que les volets HTTP dépassaient les 200 millions de requêtes par seconde. Le record est spectaculaire, mais il s’inscrit dans une façon de faire désormais familière : des frappes courtes, répétées, conçues pour saturer très vite et tester les défenses sur des fenêtres minuscules.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une campagne hyper-volumétrique qui relève désormais de la norme
Baptisée en interne The Night Before Christmas en raison de son calendrier, la campagne visait principalement des opérateurs télécoms et des entreprises IT. Elle combinait des attaques de couche 4 (trafic massif au niveau du transport, souvent sous forme de rafales de paquets) qui visent la bande passante et les équipements réseau, et des vagues HTTP destinées à pousser les services web dans leurs retranchements. Plus de la moitié des assauts ont duré entre une et deux minutes, avec des pointes concentrées sur des fenêtres très courtes, format désormais caractéristique d’Aisuru.
Si le pic à 31,4 Tb/s retient l’attention, il correspond à un maximum dans une campagne faite d’une multitude d’attaques. Dans la grande majorité des cas, Cloudflare indique que les pointes se situaient plutôt entre 1 et 5 Tb/s, avec des cadences généralement comprises entre 1 et 5 milliards de paquets par seconde. Une campagne néanmoins très structurée, alternant salves massives et charges plus contenues mais répétées pour occuper en continu les systèmes de défense.
Cloudflare précise que la détection et la mitigation ont été automatiques, sans alerte interne. Autrement dit, l’attaque n’a pas laissé de trace visible côté incident, mais elle rappelle à quel point ces niveaux sont devenus une hypothèse de travail, pas un scénario extrême réservé aux pires journées.
Autre élément marquant, l’origine des machines mobilisées. Aisuru s’appuie d’ordinaire sur un mélange d’objets connectés compromis et d’équipements réseau vulnérables, mais Cloudflare attribue cette campagne à des sources en grande partie composées de téléviseurs Android infectés, en cohérence avec l’émergence de la déclinaison Kimwolf observée ces derniers mois.
Une escalade continue et une infrastructure difficile à contenir
Ce nouveau pic prolonge une escalade documentée depuis l’automne. Fin octobre, Microsoft confirmait une attaque culminant à 15,72 Tb/s contre Azure, portée par environ 500 000 adresses IP. Début décembre, Cloudflare révélait une offensive à 29,7 Tb/s attribuée à Aisuru, menée en carpet bombing, donc répartie sur une plage réseau entière plutôt que concentrée sur une seule cible.
Les estimations autour de la taille d’Aisuru ont, elles aussi, évolué. D’un botnet évalué à quelques centaines de milliers de machines actives, on parle désormais, selon les acteurs qui le suivent, d’un vivier pouvant dépasser le million d’hôtes compromis, alimenté par des équipements grand public exposés, rarement mis à jour, et encore trop souvent déployés avec une hygiène de base insuffisante.
En face, la lutte ressemble à un travail de sape pour le moins laborieux. Depuis l’automne, les équipes de Black Lotus Labs chez Lumen disent avoir cherché à perturber Aisuru et Kimwolf en neutralisant leurs serveurs de commande, arguant avoir mis hors service plus de 550 instances C2. Des efforts aux effets réels, mais qui ne suffisent pas à tarir la source du problème. Le botnet se réorganise vite, les infrastructures se déplacent, et le stock d’équipements compromis est toujours suffisamment important pour relancer des campagnes.
Les données publiées par Cloudflare pour 2025 confirment que ces épisodes ne relèvent plus de l’exception statistique. L’entreprise indique avoir atténué plus de 47 millions d’attaques DDoS sur l’année, avec une progression marquée des assauts dépassant 1 Tb/s et des attaques réseau supérieures à 100 millions de paquets par seconde.
Source : BleepingComputer
