
Pelaku ancaman mengeksploitasi kerentanan zero-day yang tidak ditentukan di router cnPilot Cambium Networks untuk menyebarkan varian botnet AISURU yang disebut AIRASHI untuk melakukan serangan penolakan layanan terdistribusi (DDoS).
Menurut QiAnXin XLab, serangan tersebut telah memanfaatkan kelemahan keamanan sejak Juni 2024. Rincian tambahan tentang kekurangan tersebut dirahasiakan untuk mencegah penyalahgunaan lebih lanjut.
Beberapa kelemahan lain yang dijadikan senjata oleh botnet penolakan layanan terdistribusi (DDoS) termasuk CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE -2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-28771, serta yang berdampak pada kamera AVTECH IP, LILIN DVR, dan perangkat TVT Shenzhen.
“Operator AIRASHI telah memposting hasil uji kemampuan DDoS mereka di Telegram,” kata XLab. “Dari data historis, dapat diamati bahwa kapasitas serangan botnet AIRASHI tetap stabil sekitar 1-3 Tbps.”

Mayoritas perangkat yang disusupi berlokasi di Brasil, Rusia, Vietnam, dan Indonesia, dengan Tiongkok, Amerika Serikat, Polandia, dan Rusia menjadi target utama kawanan jahat tersebut.
AIRASHI adalah varian botnet AISURU (alias NAKOTNE) yang sebelumnya ditandai oleh perusahaan keamanan siber pada Agustus 2024 sehubungan dengan serangan DDoS yang menargetkan Steam pada waktu yang hampir bersamaan dengan peluncuran game tersebut Mitos Hitam: Wukong.
Botnet yang sering diperbarui, variasi tertentu dari AIRASHI juga ditemukan menggabungkan fungsionalitas proxyware, yang menunjukkan bahwa pelaku ancaman bermaksud memperluas layanan mereka lebih dari sekadar memfasilitasi serangan DDoS.
AISURU disebut-sebut menghentikan sementara aktivitas penyerangannya pada September 2024, lalu muncul kembali sebulan kemudian dengan fitur-fitur yang diperbarui (dijuluki kitty) dan disegarkan kembali untuk kedua kalinya pada akhir November (alias AIRASHI).
“Sampel kucing tersebut mulai menyebar pada awal Oktober 2024,” kata XLab. “Dibandingkan dengan sampel AISURU sebelumnya, ini telah menyederhanakan protokol jaringan. Pada akhir Oktober, AISURU mulai menggunakan proxy SOCKS5 untuk berkomunikasi dengan server C2.”
AIRASHI, di sisi lain, hadir dalam setidaknya dua rasa yang berbeda –
- AIRASHI-DDoS (pertama kali terdeteksi pada akhir Oktober), yang terutama berfokus pada serangan DDoS, namun juga mendukung eksekusi perintah sewenang-wenang dan akses shell terbalik
- AIRASHI-Proxy (pertama kali terdeteksi pada awal Desember), yang merupakan versi modifikasi dari AIRASHI-DDoS dengan fungsi proxy

Botnet, selain terus mengubah metodenya untuk mendapatkan detail server C2 melalui kueri DNS, juga mengandalkan protokol jaringan baru yang melibatkan algoritma HMAC-SHA256 dan CHACHA20 untuk komunikasi. Selanjutnya, AIRASHI-DDoS mendukung 13 jenis pesan, sedangkan AIRASHI-Proxy hanya mendukung 5 jenis pesan.
Temuan menunjukkan bahwa pelaku kejahatan terus mengeksploitasi kerentanan pada perangkat IoT baik sebagai vektor akses awal maupun untuk membangun botnet yang menggunakannya untuk memberikan bobot tambahan di balik serangan DDoS yang kuat.
Perkembangan ini terjadi ketika QiAnXin menjelaskan pintu belakang lintas platform bernama alphatronBot yang menargetkan pemerintah dan perusahaan Tiongkok untuk memasukkan sistem Windows dan Linux yang terinfeksi ke dalam botnet. Aktif sejak awal tahun 2023, malware ini mengadopsi aplikasi obrolan peer-to-peer (P2P) sumber terbuka yang sah bernama PeerChat untuk berkomunikasi dengan node lain yang terinfeksi.

Sifat protokol P2P yang terdesentralisasi berarti bahwa penyerang dapat mengeluarkan perintah melalui node mana pun yang disusupi tanpa harus merutekannya melalui satu server C2, sehingga membuat botnet lebih tahan terhadap penghapusan.
“700+ jaringan P2P yang dibangun di pintu belakang terdiri dari komponen perangkat jaringan yang terinfeksi dari 80 negara dan wilayah,” kata perusahaan itu. “Node tersebut melibatkan router MikroTik, kamera Hikvision, server VPS, router DLink, perangkat CPE, dll.”
Tahun lalu, XLab juga merinci kerangka pengiriman muatan yang canggih dan tersembunyi dengan nama kode DarkCracks yang mengeksploitasi situs GLPI dan WordPress yang disusupi untuk berfungsi sebagai pengunduh dan server C2.
“Tujuan utamanya adalah untuk mengumpulkan informasi sensitif dari perangkat yang terinfeksi, mempertahankan akses jangka panjang, dan menggunakan perangkat yang dikompromikan, stabil, dan berkinerja tinggi sebagai node relay untuk mengontrol perangkat lain atau mengirimkan muatan berbahaya, yang secara efektif mengaburkan jejak penyerang,” jelasnya. dikatakan.
“Sistem yang disusupi ditemukan milik infrastruktur penting di berbagai negara, termasuk situs web sekolah, sistem transportasi umum, dan sistem pengunjung penjara.”