En trois mois, le botnet Aisuru a enchaîné 1 304 attaques DDoS et signé un pic à 29,7 Tbit/s. Cloudflare et Microsoft décrivent un basculement vers l’hypervolume, où quelques secondes suffisent à provoquer des dégâts durables.

Le botnet Aisuru, composé de routeurs et d’objets connectés compromis, continue d’alimenter une hausse des attaques DDoS de très grande ampleur. Cloudflare estime qu’il s’appuie sur 1 à 4 millions d’hôtes infectés et affirme avoir atténué 1 304 incidents au seul troisième trimestre, dont près de 45 % en “hypervolume” au-delà de 1 Tbit/s. L’entreprise dit avoir stoppé une attaque record culminant à 29,7 Tbit/s pendant 69 secondes, menée via bombardement UDP sur environ 15 000 ports de destination par seconde. Microsoft rapporte aussi une offensive de 15 Tbit/s visant Azure depuis 500 000 IP.

Aisuru est décrit comme un service de botnet, une offre opérée comme une capacité louable, alimentée par une “armée” d’équipements réseau et IoT. Le mode d’infection mentionné est banal et donc inquiétant : exploitation de vulnérabilités connues, et attaques par force brute sur des identifiants faibles. Ces deux vecteurs prospèrent sur un terrain que beaucoup d’organisations contrôlent mal, les routeurs domestiques, les caméras, les boîtiers, et plus largement les objets connectés exposés, rarement mis à jour, souvent configurés avec des mots de passe faibles.

Cloudflare estime la taille du parc compromis entre un et quatre millions d’hôtes à l’échelle mondiale. Même si cette fourchette est large, elle donne l’ordre de grandeur : Aisuru n’est pas un botnet “de niche”, c’est une capacité capable de générer un volume de trafic suffisant pour affecter des infrastructures en dehors de la cible, notamment des fournisseurs d’accès, selon Cloudflare. Autrement dit, l’attaque DDoS devient un phénomène de zone, qui déborde, crée de la congestion et casse des services par effet domino.

29,7 Tbit/s en 69 secondes : l’hypervolume comme arme de choc

Le fait marquant est le record revendiqué par Cloudflare : une attaque stoppée au troisième trimestre, culminant à 29,7 Tbit/s pendant 69 secondes. La précédente référence, 22,2 Tbit/s, avait déjà été repoussée par Cloudflare et attribuée avec une confiance modérée à Aisuru. Dans la même période, une autre attaque mentionnée atteint 14,1 milliards de paquets par seconde, ce qui souligne une réalité : le débit en bits et le débit en paquets sont deux façons différentes de “casser” une infrastructure, l’une saturant des liens, l’autre épuisant des équipements par le traitement.

Le vecteur décrit est un bombardement UDP. Concrètement, il s’agit de projeter du trafic indésirable à grande vitesse, en multipliant les ports visés, ici une moyenne de 15 000 ports de destination par seconde. Cette dispersion complique le filtrage par règles statiques et force l’infrastructure défensive à suivre un rythme élevé de changements. La cible du record n’est pas divulguée, mais la durée, 69 secondes, suffit à illustrer la logique actuelle : frapper très fort, très vite, puis disparaître. Cloudflare précise que la plupart de ces attaques se terminent en moins de 10 minutes, ce qui réduit la fenêtre de réaction humaine à presque rien.

 

SERVICE DE VEILLE ZATAZ Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous. Fuites de données, Veille web & dark web, alertes et priorisation des risques.

DÉCOUVRIR LA VEILLE Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR

Un ordre de grandeur – 29,7 térabits par seconde, c’est 29 700 gigabits par seconde. Si votre fibre à la maison fait 1 Gbit/s, l’attaque au pic équivaut à environ 29 700 connexions fibre « plein débit » qui envoient en même temps. Prenons un film HD de 5 Go. 5 Go, c’est environ 40 gigabits (car 1 octet = 8 bits). À 29 700 Gbit/s, on peut théoriquement « faire passer » environ 742 films HD de 5 Go par seconde (29 700 / 40 = 742,5). Sur 69 secondes, ça fait environ 51 200 films HD (742,5 × 69 = 51 232,5). Bref. Même si l’attaque ne dure qu’une minute, ce volume peut saturer des équipements réseau (routeurs, firewalls), boucher des liens chez un opérateur, et provoquer des pannes en cascade, y compris chez des acteurs qui ne sont pas la cible directe.

Cloudflare affirme avoir contré 2 867 attaques attribuées à Aisuru depuis le début de l’année, et indique que près de 45 % sont des attaques hypervolumes, au-delà de 1 Tbit/s, ou 1 milliard de paquets par seconde selon la définition citée. Le troisième trimestre à lui seul représente 1 304 incidents. La dynamique est décrite comme une hausse constante, avec une augmentation de 189 % des attaques dépassant 100 Mbit/s par rapport au trimestre précédent. Le nombre d’attaques au-delà de 1 Tbit/s aurait plus que doublé, avec une hausse de 227 %. Ces progressions signifient que l’attaquant n’augmente pas seulement la fréquence : il augmente la capacité maximale, donc la probabilité de dépasser les seuils techniques des réseaux de transit et des opérateurs.

Le texte note que le volume du dernier trimestre n’égale pas celui du premier trimestre, mais que les statistiques de 2025 restent supérieures aux années précédentes, à l’exception des mois de novembre et décembre. Cette précision suggère un cycle saisonnier ou une anomalie temporelle, sans en donner la cause. Elle rappelle surtout qu’une lecture annuelle masque parfois des pics d’intensité plus dangereux que la moyenne.

Cibles et géographie : l’attribution par télémétrie

Sur les secteurs, les chercheurs cités indiquent qu’Aisuru vise des entreprises dans les jeux vidéo, l’hébergement web, les télécoms et la finance. Ce choix colle aux profils où la disponibilité est monétisable, chaque minute d’arrêt coûte, et où la menace de DDoS peut servir de levier, extorsion, concurrence, ou diversion pendant une autre intrusion.

Cloudflare affirme avoir atténué en moyenne 3 780 attaques DDoS par heure au troisième trimestre, “la plupart” provenant d’Indonésie, de Thaïlande, du Bangladesh et d’Équateur, et ciblant la Chine, la Turquie, l’Allemagne, le Brésil et les États-Unis. Ce type de cartographie repose sur des signaux réseau, géolocalisation d’IP, observation de sources et destinations, et il faut le lire comme une photographie de routage plus que comme une preuve d’intention nationale. Néanmoins, ces flux donnent aux défenseurs un indicateur : la dispersion géographique des nœuds IoT compromis rend les blocages simples moins efficaces.

Aisuru incarne une mutation du DDoS : des salves ultra-courtes, d’un volume capable de saturer des réseaux tiers, et pilotées par un parc IoT immense et bon marché. Dans ce contexte, la protection ne se joue plus seulement “au moment de l’attaque”, mais en amont, sur la capacité à absorber, filtrer dynamiquement et basculer automatiquement. La question cyber et renseignement est désormais la suivante : comment identifier, puis tarir, les gisements d’objets compromis, quand la puissance de feu se mesure en térabits et que l’attaque n’accorde que quelques dizaines de secondes pour réagir ?

 

News & alertes actualités cyber Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à la NewsLetter ZATAZ Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. YouTube Whatsapp GNews Autres