Depuis des années, les experts en sécurité suivent une série d'attaques DDoS importantes provenant du Brésil, ciblant exclusivement les FAI brésiliens. Des découvertes récentes ont mis en lumière la source potentielle : une infrastructure compromise au sein de **Huge Networks**. ### Une archive exposée révèle des clés SSH et une activité de botnet Une archive de fichiers exposée contenait des programmes malveillants écrits en Python et les clés d'authentification SSH privées appartenant à **Erick Nascimento**, PDG de **Huge Networks**. Cette découverte suggère qu'un acteur de la menace a obtenu un accès root à l'infrastructure de **Huge Networks** et a construit un puissant botnet DDoS en scannant Internet à la recherche de routeurs et de serveurs DNS vulnérables. ### Attaques par amplification DNS Le botnet exploite les attaques par amplification DNS pour maximiser son impact. En exploitant des serveurs DNS mal configurés qui acceptent les requêtes de n'importe quelle source, les attaquants peuvent envoyer des requêtes falsifiées qui semblent provenir du réseau de la cible. Cela a pour conséquence que les serveurs DNS répondent à l'adresse ciblée avec des réponses amplifiées, submergeant ainsi le réseau de la victime.  ### Ciblage des routeurs TP-Link L'archive exposée comprend un historique de ligne de commande détaillant comment l'attaquant a construit et maintenu le botnet en recherchant des routeurs **TP-Link Archer AX21** vulnérables. Le botnet cible spécifiquement les appareils vulnérables à la **CVE-2023-1389**, une vulnérabilité d'injection de commande non authentifiée corrigée en avril 2023.  Des domaines malveillants associés aux scripts d'attaque, tels que hikylover[.]st et c.loyaltyservices[.]lol, ont été précédemment signalés comme serveurs de contrôle pour des botnets IoT alimentés par des variantes du **malware Mirai**. ### La réponse de Huge Networks **Erick Nascimento** a reconnu l'intrusion, déclarant que l'activité non autorisée est probablement liée à une violation de sécurité détectée en janvier 2026. Il affirme que deux des serveurs de développement de l'entreprise et ses clés SSH personnelles ont été compromis. Cependant, il soutient qu'il n'y a aucune preuve que les clés aient été utilisées après janvier et que l'entreprise a mandaté une société d'experts externes en criminalistique pour enquêter. Il a également nié toute implication dans des attaques DDoS contre des opérateurs brésiliens dans le but de stimuler les affaires de son entreprise. Nascimento suggère qu'un concurrent pourrait être à l'origine des attaques, tentant de ternir la réputation de **Huge Networks**. Il affirme détenir des preuves stockées sur la blockchain pour étayer cette théorie. ### L'héritage de Mirai Le logiciel du botnet est basé sur **Mirai**, une souche de malware connue pour lancer des attaques DDoS record. **Mirai** a été historiquement utilisé par des entreprises d'atténuation DDoS pour attaquer des serveurs de jeux et acquérir de nouveaux clients.