Microsoft a révélé lundi avoir automatiquement détecté et neutralisé une attaque par déni de service distribué (DDoS) ciblant un seul point d’accès en Australie, mesurant 5,72 térabits par seconde (Tbps) et près de 3,64 milliards de paquets par seconde (pps).

Le géant technologique a déclaré qu’il s’agissait de la plus importante attaque DDoS jamais observée dans le cloud, et qu’elle provenait d’un botnet de type TurboMirai ciblant l’Internet des objets (IoT), connu sous le nom d’ AISURU . On ignore pour l’instant qui était visé par l’attaque.

« L’attaque impliquait des inondations UDP à très haut débit ciblant une adresse IP publique spécifique, lancées depuis plus de 500 000 adresses IP sources réparties dans différentes régions », a déclaré Sean Whalen de Microsoft .

« Ces pics soudains de trafic UDP présentaient un minimum d’usurpation de source et utilisaient des ports sources aléatoires, ce qui a permis de simplifier le traçage et de faciliter l’application des règles par le fournisseur. »

D’après les données de QiAnXin XLab, le botnet AISURU est alimenté par près de 300 000 appareils infectés, principalement des routeurs, des caméras de sécurité et des systèmes d’enregistrement vidéo numérique (DVR). Il est responsable de certaines des plus importantes attaques DDoS jamais enregistrées. Dans un rapport publié le mois dernier, NETSCOUT a classé ce botnet, spécialisé dans les attaques DDoS à la demande, comme opérant avec une clientèle restreinte.

« Les opérateurs auraient mis en œuvre des mesures préventives pour éviter de cibler les installations gouvernementales, policières, militaires et autres sites relevant de la sécurité nationale », a déclaré la société. « La plupart des attaques Aisuru observées à ce jour semblent liées aux jeux en ligne. »

Les botnets comme AISURU permettent également de multiples usages, allant au-delà des attaques DDoS dépassant 20 Tbps pour faciliter d’autres activités illicites telles que le credential stuffing, le web scraping piloté par intelligence artificielle (IA), le spam et le phishing. AISURU intègre également un service de proxy résidentiel.

« Les attaques informatiques prennent de l’ampleur au même rythme qu’Internet. À mesure que les débits de la fibre optique jusqu’au domicile augmentent et que les objets connectés deviennent plus puissants, la taille de base des attaques ne cesse de croître », a déclaré Microsoft.

Cette révélation intervient alors que NETSCOUT détaille un autre botnet TurboMirai appelé Eleven11 (alias RapperBot) qui aurait lancé environ 3 600 attaques DDoS alimentées par des appareils IoT piratés entre fin février et août 2025, à peu près au même moment où les autorités ont annoncé une arrestation et le démantèlement du botnet.

Certains des serveurs de commande et de contrôle (C2) associés au botnet sont enregistrés auprès du domaine de premier niveau (TLD) « .libre », qui fait partie d’OpenNIC, une racine DNS alternative exploitée indépendamment de l’ICANN et qui a été adoptée par d’autres botnets DDoS comme CatDDoS et Fodcha .

« Bien que le réseau de zombies ait probablement été neutralisé, les appareils compromis restent vulnérables », indique le communiqué. « Il est probable que ce ne soit qu’une question de temps avant que des hôtes ne soient à nouveau piratés et réquisitionnés comme nœuds compromis pour le prochain réseau de zombies. »