Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Le botnet hanno registrato un aumento del 24% dei server di comando e controllo nella seconda metà del 2025. Varianti moderne come KimWolf e Aisuru hanno infettato tra 1 e 4 milioni di dispositivi, lanciando attacchi DDoS fino a 31,4 terabit al secondo. Il Dipartimento di Giustizia USA, insieme a Canada e Germania, ha tentato di disattivare queste reti. La diffusione è favorita dalla vulnerabilità dei dispositivi domestici e dal codice sorgente di Mirai, rendendo le botnet sempre più difficili da fermare.
Secondo un nuovo rapporto di Pulsedive Threat Research, le botnet stanno nuovamente guadagnando terreno e la portata è difficile da ignorare. Nella seconda metà del 2025, si è visto un aumento del 24% dei C2, mentre gli attacchi stessi sono diventati potenti e sofisticati.
In questo contesto, molte delle autorità hanno adottato misure drastiche e severe, cercando di colpire l’infrastruttura di queste grandi reti di dispositivi infetti. Come sappiamo, una botnet non è altro che una rete di computer controllata da un singolo operatore o gruppo.
Queste grandi reti, vengono spesso utilizzate per attacchi di massa verso specifici siti web, oppure effettuare attacchi di forza bruta per il recupero delle password, oppure per inviare messaggi di spam. Gli aggressori, nascondono le loro attività illecite dietro i dispositivi delle persone, che sono ignari del comportamento dei loro device.
Il 19 marzo 2026, il Dipartimento di Giustizia degli Stati Uniti ha annunciato un altro tentativo di disattivare una infrastruttura di comando e controllo (C1) relativa alle botnet Aisuru, KimWolf, JackSkid e Mossad. L’operazione, ha coinvolto gli stati Canada e Germania dove nello specifico, le forze dell’ordine hanno cercato di assumere il controllo dei server di DigitalOcean, utilizzati come C2 della botnet KimWolf.
Le botnet di oggi si sono in gran parte evolute da quella che era Mirai, un semplice malware emerso nel 2016. Mirai, scansiona costantemente Internet alla ricerca di dispositivi IoT vulnerabili, come ad esempio router domestici o telecamere. L’infezione avveniva tramite vulnerabilità note o password predefinite che i proprietari non avevano mai modificato. Dalla pubblicazione del codice sorgente di Mirai, sono emerse moltissime varianti, dove ognuna si è sviluppata a suo modo.
Una di queste varianti è la botnet Satori, che nel 2017 ha infettato oltre 260.000 router, principalmente domestici oltre che per ufficio. Il malware, sfruttava vulnerabilità che consentivano l’esecuzione di comandi da remoto sul dispositivo (RCE). Una volta compromessi, questi device scaricavano ed eseguivano diversi file da altre architetture per ampliare la propria portata.
Le botnet più moderne, come Aisuru-Kimwolf , hanno raggiunto un altro nuovo livello. La rete in questione ha infettato tra 1 e 4 milioni di dispositivi in tutto il mondo ed è stata utilizzata per i più grandi attacchi DDoS fino ad oggi registrati. Sono stati rilevati attacchi con una capacità di 31,4 terabit al secondo e fino a 14,1 miliardi di pacchetti al secondo. Il malware è stato in grado di alterare le caratteristiche dei pacchetti di rete, rendendo difficile il rilevamento.
KimWolf invece è una variante che prende di mira i dispositivi Android, inclusi televisori e gli smartphone, la quale merita particolare attenzione. La rete ha già infettato circa 2 milioni di dispositivi. Gli operatori vendono l’accesso alla botnet e ad altri criminali informatici tramite Discord e Telegram, stabilendo un prezzo, in base alla gravità dell’attacco che si vuole arrecare e alla sua durata. Si parla appunto del noleggio della botnet che viene messa in affitto dai gestori verso altri criminali informatic.
Per mascherare queste attività, gli aggressori utilizzano gli “home proxy”, in cui il traffico viene instradato attraverso i veri indirizzi IP degli utenti dendendo le loro malefatte completamente anonime. Negli ultimi mesi, l’infrastruttura IPIDEA è stata utilizzata attivamente. Dopo diversi tentativi di blocco, tutta l’attività si è spostata sulla rete I2P, che analogamente alla rete onion, consiste in un sistema distribuito che nasconde i partecipanti e complica il dirottamento del controllo.
L’aumento di queste botnet è dovuto alla disponibilità del codice sorgente di Mirai e alla scarsa sicurezza dei dispositivi domestici. Infatti router e altri dispositivi, ricevono raramente aggiornamenti e gli utenti spesso lasciano le password di default senza cambiarle mai. Di conseguenza, tali dispositivi vengono facilmente trasformati in parte dell’infrastruttura di attacco di terzi.
È improbabile che la situazione cambi velocemente. Finché i dispositivi domestici rimarranno vulnerabili, le botnet continueranno a proliferare e gli attacchi diventeranno più potenti e difficili da contrastare.
