Op 24 oktober 2025 detecteerde en neutraliseerde Azure DDoS Protection automatisch een multivector-DDoS-aanval van 15,72 terabit per seconde en bijna 3,64 miljard pakketten per seconde.
Dat meldde Microsoft maandag. De aanval was de grootste die ooit in de cloud is waargenomen en richtte zich op één enkel eindpunt in Australië. Dankzij Azure’s wereldwijd verdeelde infrastructuur en continue detectiecapaciteiten kon het kwaadaardige verkeer onmiddellijk worden gefilterd en omgeleid, waardoor klantdiensten beschikbaar bleven.
De aanval werd uitgevoerd door het Aisuru-botnet, een Mirai-achtige IoT-variant die sinds augustus 2024 actief is en sindsdien geregeld recordbrekende aanvallen veroorzaakt. Dit schrijft The Register, dat ook beschrijft hoe Aisuru in juni 2025 al verantwoordelijk was voor een aanval van 6,3 Tbps op KrebsOnSecurity, destijds volgens Google de grootste die het bedrijf ooit had moeten afslaan. Volgens een principal engineer van Netscout had Aisuru zijn capaciteit tegen oktober 2025 al opgeschaald tot meer dan 20 Tbps.
Aisuru infecteert voornamelijk thuisrouters en beveiligingscamera’s op netwerken van residentiële internetproviders. De botnetbeheerders zouden volgens beveiligingsonderzoekers hebben aangegeven geen overheids- of veiligheidsinstanties aan te willen vallen, maar gezien het criminele karakter van de operatie wordt daarbij meteen opgemerkt dat dit weinig garantie biedt.
Ruim 500.000 bronadressen
Meer dan een half miljoen bronadressen uit meerdere regio’s waren betrokken bij de aanval op Azure, die bestond uit extreem snelle UDP-vloeden met willekeurige bronpoorten en nauwelijks spoofing. Dit vereenvoudigde volgens Microsoft het traceren en stelde providers in staat sneller maatregelen af te dwingen.
De invloed van Aisuru was eerder die maand ook zichtbaar bij Cloudflare, waar domeinen die aan het botnet werden gekoppeld boven grote techbedrijven uitkwamen in de lijst van meest opgevraagde websites. Cloudflare heeft die domeinen vervolgens uit de ranglijst verwijderd, omdat het enorme aantal verzoeken bedoeld leek om die lijst te manipuleren en tegelijkertijd druk uit te oefenen op Cloudflares DNS-diensten. Volgens de CEO van Cloudflare had het bedrijf daarom de rankinglogica aangepast en werden domeinen die als malware worden geclassificeerd tijdelijk verborgen.
Zowel Microsoft als externe onderzoekers wijzen erop dat DDoS-aanvallen blijven meegroeien met de capaciteit van het internet. Hogere glasvezelsnelheden en krachtigere IoT-apparaten maken grotere aanvallen mogelijk, en dit vertaalt zich in duidelijke trends: Cloudflare rapporteerde in het tweede kwartaal van 2025 een stijging van ruim veertig procent in het aantal DDoS-aanvallen ten opzichte van dezelfde periode een jaar eerder.