Botnet DDoS e DNS amplification: il caso degli ISP brasiliani

Un threat actor ha compromesso l'infrastruttura di Huge Networks per costruire un botnet DDoS contro ISP brasiliani sfruttando CVE-2023-1389 e DNS reflection.

Contenuto

Botnet DDoS e DNS amplification: il caso degli ISP brasiliani
Botnet DDoS e DNS amplification: il caso degli ISP brasiliani

Nell'aprile 2026, una fonte anonima ha condiviso un archivio esposto online contenente programmi malevoli in lingua portoghese e le chiavi SSH private del CEO di Huge Networks, Erick Nascimento. L'archivio ha rivelato che un threat actor basato in Brasile ha mantenuto accesso root all'infrastruttura del provider di sicurezza anti-DDoS per costruire un potente botnet DDoS, scansionando router insicuri e server DNS non gestiti.

La compromissione interna di Huge Networks

Nel gennaio 2026, Huge Networks ha rilevato un'intrusione digitale che ha compromesso due server di sviluppo dell'azienda e le chiavi SSH personali del CEO Erick Nascimento. L'11 gennaio 2026, Digital Ocean ha notificato a Nascimento la compromissione di un suo droplet personale a causa di una chiave SSH trapelata.

La meccanica dell'attacco: DNS reflection e vulnerabilità IoT

A marzo 2026, gli attaccanti hanno colpito gli ISP regionali del Brasile, ponendo le telco come bersaglio DDoS numero uno a livello globale. Gli attacchi erano strettamente limitati ai range di indirizzi IP brasiliani. Il modus operandi del threat actor si è basato su due vettori principali: lo sfruttamento di dispositivi IoT insicuri e gli attacchi di amplificazione e reflection DNS.

Per costruire il botnet DDoS, l'attaccante ha scansionato router TP-Link Archer AX21 vulnerabili alla CVE-2023-1389, una vulnerabilità di command injection non autenticato per la quale TP-Link aveva già rilasciato una patch nell'aprile 2023. Nell'ultimo anno, i domini hikylover[.]st e c.loyaltyservices[.]lol sono stati segnalati come server di controllo per una variante Mirai di questo botnet IoT.

Parallelamente, il botnet ha sfruttato server DNS non gestiti e mal configurati per condurre attacchi di amplificazione e reflection DNS.

Il parallelo storico con i creatori del malware Mirai

Il caso Huge Networks richiama un paradosso storico nella cybersecurity. Nel settembre 2016, il malware Mirai ha esordito pubblicamente lanciando un attacco DDoS da record. Nel gennaio 2017, KrebsOnSecurity ha identificato gli autori di Mirai come co-proprietari di un'azienda di mitigazione DDoS, un parallelo con la situazione attuale in cui l'infrastruttura di un'azienda anti-DDoS viene sfruttata per gli attacchi. La minaccia Mirai persiste: nel maggio 2025, KrebsOnSecurity è stato colpito da un altro attacco DDoS basato su Mirai.

Domande frequenti

Come è stata compromessa l'infrastruttura anti-DDoS Huge Networks?
Nel gennaio 2026, Huge Networks ha rilevato un'intrusione digitale che ha compromesso due server di sviluppo e le chiavi SSH del CEO. L'11 gennaio 2026, Digital Ocean ha notificato al CEO la compromissione di un suo droplet personale a causa di una chiave SSH trapelata.
Come funzionano gli attacchi di DNS reflection usati contro gli ISP brasiliani?
Il botnet ha sfruttato server DNS non gestiti e mal configurati per condurre attacchi di amplificazione e reflection DNS, limitando gli attacchi strettamente ai range di indirizzi IP brasiliani.
Quali dispositivi IoT sono stati sfruttati per la botnet DDoS brasiliana?
Il threat actor ha scansionato e compromesso i router TP-Link Archer AX21 vulnerabili alla CVE-2023-1389, una vulnerabilità di command injection non autenticato per cui esisteva una patch già dall'aprile 2023.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Fonti

Link utili

Apri l'articolo su DeafNews