Un’azienda anti-DDoS aveva una botnet che attaccava gli ISP brasiliani

Per anni gli esperti di sicurezza hanno monitorato attacchi DDoS di grandi dimensioni originati dal Brasile e diretti contro provider locali. Ora si è scoperto che a orchestrare parte di questi attacchi potrebbe essere stata un’azienda specializzata proprio nella difesa da questo tipo di minacce.

Un archivio esposto in una directory online conteneva programmi malevoli in Python, chiavi SSH private del CEO di Huge Networks, Erick Nascimento, e le tracce di una botnet basata su una variante di Mirai. La botnet scandiva Internet alla ricerca di router TP-Link Archer AX21 ancora vulnerabili a CVE-2023-1389, una falla patchata ad aprile 2023, e di server DNS malconfigurati per condurre attacchi di riflessione e amplificazione.

I comandi registrati mostrano che l’attaccante utilizzava un server Digital Ocean già segnalato centinaia di volte per attività abusive. Gli attacchi erano limitati a indirizzi IP brasiliani e duravano tra 10 e 60 secondi per target. I domini di comando e controllo includevano hikylover[.]st e c.loyaltyservices[.]lol, già noti per essere associati a una botnet IoT.

Contattato da KrebsOnSecurity, il CEO Erick Nascimento ha dichiarato di non essere a conoscenza dell’entità della campagna e di averla scoperta solo grazie alla segnalazione. Ha detto che le attività non autorizzate potrebbero risalire a una violazione subita a gennaio 2026, quando due server di sviluppo e le sue chiavi SSH personali furono compromesse. Nascimento ha affermato di aver cancellato i server e ruotato le chiavi lo stesso giorno, ma l’archivio suggerisce che l’accesso è proseguito anche dopo.

Nascimento ha negato che Huge Networks attacchi altri provider per generare clienti. Il suo modello di vendita si basa su contatti inbound e partner, non su attacchi mirati. Ha aggiunto di avere prove conservate su blockchain che indicano un concorrente come responsabile, senza volerne rivelare il nome per non rovinare l’effetto sorpresa.