Gli attori malintenzionati stanno sfruttando una vulnerabilità zero-day non specificata nei router cnPilot di Cambium Networks per distribuire una variante del botnet AISURU chiamata AIRASHI, con l'obiettivo di effettuare attacchi DDoS. Secondo il QiAnXin XLab, gli attacchi hanno sfruttato questa falla di sicurezza da giugno 2024. Sono stati trattenuti ulteriori dettagli sulla vulnerabilità per prevenire ulteriori abusi. Oltre a questo, il botnet DDoS ha utilizzato altre vulnerabilità, tra cui CVE-2013-3307, CVE-2016-20016 e CVE-2017-5259, tra le altre.

L'operatore di AIRASHI

L'operatore di AIRASHI ha pubblicato i risultati dei test delle proprie capacità di attacco su Telegram, rivelando che la capacità di attacco del botnet si aggira attorno a 1-3 Tbps. La maggior parte dei dispositivi compromessi si trova in Brasile, Russia, Vietnam e Indonesia, mentre Cina, Stati Uniti e Polonia sono tra i principali bersagli. AIRASHI è una variante del botnet AISURU, precedentemente segnalato nel 2024 in relazione a un attacco DDoS contro Steam.

Funzionalità del botnet AIRASHI

Il botnet AIRASHI, che viene frequentemente aggiornato, ha integrato funzionalità proxyware, suggerendo che gli attori dietro di esso intendono ampliare i loro servizi oltre agli attacchi DDoS. AISURU ha temporaneamente sospeso le sue attività di attacco nel settembre 2024, per poi riapparire un mese dopo con funzionalità aggiornate. AIRASHI presenta almeno due varianti: AIRASHI-DDoS e AIRASHI-Proxy, con la prima focalizzata principalmente su attacchi DDoS e la seconda dotata di funzionalità proxy.

Tecnologia e protocolli

Il botnet utilizza un nuovo protocollo di rete che coinvolge algoritmi HMAC-SHA256 e CHACHA20 per la comunicazione. AIRASHI-DDoS supporta 13 tipi di messaggi, mentre AIRASHI-Proxy ne supporta solo cinque. Questi sviluppi evidenziano come gli attori malintenzionati continuano a sfruttare le vulnerabilità dei dispositivi IoT sia come vettore di accesso iniziale sia per costruire botnet che rafforzano gli attacchi DDoS.

Backdoor cross-platform

In parallelo, QiAnXin ha rivelato un backdoor cross-platform chiamato alphatronBot, che ha colpito il governo cinese e le imprese per arruolare sistemi Windows e Linux in una botnet. Operativo dall'inizio del 2023, il malware ha utilizzato un'applicazione chat P2P open-source legittima per comunicare con altri nodi infetti. La natura decentralizzata del protocollo P2P consente agli attaccanti di emettere comandi attraverso qualsiasi nodo compromesso, rendendo la botnet più resistente agli smantellamenti.