Seit Jahren verfolgen Sicherheitsexperten eine Reihe signifikanter DDoS-Angriffe, die aus Brasilien stammen und ausschließlich brasilianische ISPs zum Ziel haben. Jüngste Erkenntnisse haben die potenzielle Quelle beleuchtet: eine kompromittierte Infrastruktur innerhalb von **Huge Networks**. ### Freigelegtes Archiv enthüllt SSH-Schlüssel und Botnetz-Aktivitäten Ein freigelegtes Dateiverzeichnis enthielt bösartige Programme, die in Python geschrieben waren, sowie die privaten SSH-Authentifizierungsschlüssel von **Erick Nascimento**, CEO von **Huge Networks**. Diese Entdeckung deutet darauf hin, dass ein Bedrohungsakteur Root-Zugriff auf die Infrastruktur von **Huge Networks** erlangt und ein leistungsstarkes DDoS-Botnetz aufgebaut hat, indem er das Internet nach anfälligen Routern und DNS-Servern durchsuchte. ### DNS-Amplification-Angriffe Das Botnetz nutzt DNS-Amplification-Angriffe, um die Auswirkungen zu maximieren. Durch die Ausnutzung fehlkonfigurierter DNS-Server, die Anfragen von beliebigen Quellen akzeptieren, können Angreifer gefälschte Anfragen senden, die so aussehen, als kämen sie aus dem Netzwerk des Ziels. Dies führt dazu, dass die DNS-Server die angezielte Adresse mit verstärkten Antworten versorgen und so das Netzwerk des Opfers überlasten.  ### Ziel: TP-Link Router Das freigelegte Archiv enthält eine Kommandozeilenhistorie, die detailliert beschreibt, wie der Angreifer das Botnetz durchsuchte und pflegte, indem er nach anfälligen **TP-Link Archer AX21**-Routern suchte. Das Botnetz zielt speziell auf Geräte ab, die anfällig für **CVE-2023-1389** sind, eine Schwachstelle für unauthentifizierte Befehlsinjektionen, die im April 2023 behoben wurde.  Bösartige Domains, die mit den Angriffsskripten in Verbindung gebracht werden, wie hikylover[.]st und c.loyaltyservices[.]lol, wurden zuvor als Kontrollserver für IoT-Botnetze gekennzeichnet, die von **Mirai malware**-Varianten betrieben werden. ### Reaktion von Huge Networks **Erick Nascimento** räumte die Intrusion ein und erklärte, dass die unbefugte Aktivität wahrscheinlich mit einer im Januar 2026 erkannten Sicherheitsverletzung zusammenhängt. Er behauptete, dass zwei der Entwicklungsserver des Unternehmens und seine persönlichen SSH-Schlüssel kompromittiert worden seien. Er beteuerte jedoch, dass es keine Beweise dafür gebe, dass die Schlüssel nach Januar verwendet wurden, und dass das Unternehmen eine externe Forensikfirma beauftragt habe, die Untersuchung durchzuführen. Er bestritt auch jegliche Beteiligung an DDoS-Angriffen gegen brasilianische Betreiber zur Förderung des Geschäfts seines Unternehmens. Nascimento vermutet, dass ein Konkurrent hinter den Angriffen steckt und versucht, den Ruf von **Huge Networks** zu beschädigen. Er behauptet, Beweise auf der Blockchain gespeichert zu haben, die diese Theorie untermauern. ### Mirais Vermächtnis Die Software des Botnetzes basiert auf **Mirai**, einem Malware-Stamm, der für die Durchführung von rekordverdächtigen DDoS-Angriffen bekannt ist. **Mirai** wurde in der Vergangenheit von DDoS-Mitigation-Firmen eingesetzt, um Gaming-Server anzugreifen und neue Kunden zu gewinnen.