Durante años, expertos en seguridad han estado rastreando una serie de importantes ataques DDoS originados en Brasil, dirigidos exclusivamente a ISPs brasileños. Hallazgos recientes han arrojado luz sobre la posible fuente: una infraestructura comprometida dentro de **Huge Networks**. ### Archivo Expuesto Revela Claves SSH y Actividad de Botnet Un archivo expuesto contenía programas maliciosos escritos en Python y las claves privadas de autenticación SSH pertenecientes a **Erick Nascimento**, CEO de **Huge Networks**. Este descubrimiento sugiere que un actor de amenazas obtuvo acceso root a la infraestructura de **Huge Networks** y construyó una potente botnet DDoS escaneando Internet en busca de routers y servidores DNS vulnerables. ### Ataques de Amplificación DNS La botnet aprovecha los ataques de amplificación DNS para maximizar el impacto. Al explotar servidores DNS mal configurados que aceptan consultas de cualquier fuente, los atacantes pueden enviar solicitudes falsificadas que parecen originarse en la red del objetivo. Esto resulta en que los servidores DNS respondan a la dirección objetivo con respuestas amplificadas, abrumando la red de la víctima.  ### Ataques a Routers TP-Link El archivo expuesto incluye un historial de línea de comandos que detalla cómo el atacante construyó y mantuvo la botnet escaneando routers **TP-Link Archer AX21** vulnerables. La botnet se dirige específicamente a dispositivos vulnerables a **CVE-2023-1389**, una vulnerabilidad de inyección de comandos no autenticada parcheada en abril de 2023.  Dominios maliciosos asociados con los scripts de ataque, como hikylover[.]st y c.loyaltyservices[.]lol, han sido previamente marcados como servidores de control para botnets IoT impulsadas por variantes de **malware Mirai**. ### Respuesta de Huge Networks **Erick Nascimento** reconoció la intrusión, afirmando que la actividad no autorizada probablemente está relacionada con una brecha de seguridad detectada en enero de 2026. Afirma que dos de los servidores de desarrollo de la compañía y sus claves SSH personales fueron comprometidos. Sin embargo, sostiene que no hay evidencia de que las claves se hayan utilizado después de enero y que la compañía ha contratado a una firma forense externa para investigar. También negó cualquier participación en ataques DDoS contra operadores brasileños para impulsar el negocio de su empresa. Nascimento sugiere que un competidor podría estar detrás de los ataques, intentando empañar la reputación de **Huge Networks**. Afirma tener evidencia almacenada en la blockchain que respalda esta teoría. ### El Legado de Mirai El software de la botnet se basa en **Mirai**, una cepa de malware conocida por lanzar ataques DDoS récord. **Mirai** tiene un historial de ser utilizado por empresas de mitigación de DDoS para atacar servidores de juegos y adquirir nuevos clientes.