Quattro tra i botnet più temuti al mondo sono stati smantellati grazie a un’operazione internazionale di enorme portata. I network criminali, noti come Aisuru, KimWolf, JackSkid e Mossad, avevano preso il controllo di oltre tre milioni di dispositivi connessi e scatenato qualcosa come 316.000 attacchi DDoS nel giro di pochi anni. Roba da far tremare anche i provider internet più solidi.
Dal 2024 questi quattro botnet hanno sfruttato dispositivi mal protetti, soprattutto router Wi-Fi e telecamere IP, per costruire veri e propri eserciti di apparecchi zombie. Il meccanismo è sempre lo stesso: un dispositivo obsoleto, magari con la password di fabbrica mai cambiata, diventa un bersaglio facilissimo. Una volta compromesso, entra a far parte della rete e viene usato per lanciare attacchi su larga scala. Come hanno sottolineato le autorità statunitensi, «i dispositivi infettati venivano letteralmente ridotti in schiavitù dagli operatori dei botnet». Centinaia di migliaia di questi apparecchi si trovavano nei soli Stati Uniti, ma le vittime erano sparse in tutto il mondo.
Attacchi DDoS da record e il fantasma di Mirai
Tra le imprese più devastanti spicca quella di Aisuru, che nel dicembre 2025 ha lanciato un attacco capace di superare i 30 Tb/s. Secondo gli esperti di Cloudflare, la potenza di fuoco era tale da mandare in tilt le reti dei fornitori di accesso a internet, anche quando non erano il bersaglio diretto. Non proprio una cosa da poco. Tutti e quattro i botnet, tra l’altro, derivano dal codice del celebre Mirai, apparso più di dieci anni fa e ancora oggi fonte di ispirazione per i criminali informatici.
I numeri parlano chiaro: Aisuru da solo ha orchestrato oltre 200.000 attacchi DDoS, JackSkid più di 90.000, KimWolf oltre 25.000 e Mossad più di 1.000. Sommando tutto si arriva a circa 316.000 cyberattacchi diretti contro «vittime in ogni angolo del pianeta», per usare le parole della giustizia americana.
L’operazione che ha spento tutto il 19 marzo 2026
Di fronte a questa escalation, si è formata una coalizione che mette insieme agenzie governative e colossi del settore tech. Al tavolo sedevano il Dipartimento di Giustizia degli Stati Uniti, l’FBI, le forze dell’ordine di Germania e Canada, oltre a nomi come Cloudflare, Akamai, AWS, Google, PayPal e Nokia. Un gruppo piuttosto eterogeneo, unito da un obiettivo comune: mappare l’intera infrastruttura di comando e controllo dietro i quattro botnet.
Gli investigatori hanno identificato server virtuali, nomi di dominio, relay e raccolto una quantità significativa di indizi sulle persone dietro le operazioni criminali. Dopo mesi di raccolta dati, il 19 marzo 2026 è scattata l’operazione coordinata: tutti i server e i domini sono stati sequestrati in un colpo solo. Da quel momento i botnet non possono più infettare nuovi dispositivi, ricevere istruzioni o lanciare attacchi DDoS. Sono, a tutti gli effetti, fuori servizio.
In parallelo, le forze di polizia hanno condotto operazioni in Germania e in Canada contro le persone sospettate di aver amministrato le reti di dispositivi compromessi.
