ShadowV2 und Aisuru: Mirai-Botnets bedrohen das Internet erneut

Die Cybersecurity-Welt wird von zwei massiven Bedrohungen erschüttert: Während die neu entdeckte Malware “ShadowV2” den großen AWS-Ausfall im Oktober für einen verdeckten Testlauf nutzte, verzeichnete Microsoft den größten Cloud-basierten DDoS-Angriff der Geschichte. Was beide verbindet? Der fast zehn Jahre alte Mirai-Code, der nun gefährlicher zurückkehrt als je zuvor.

Fortinets FortiGuard Labs enthüllte am Mittwoch die Existenz von ShadowV2 – eine hochentwickelte Botnet-Variante, die gezielt während des AWS-Ausfalls aktiv wurde. Parallel dazu bestätigte Microsoft einen verheerenden 15,72 Terabit pro Sekunde starken Angriff durch das “Aisuru”-Botnet. Beide Angriffswerkzeuge basieren auf dem legendären Mirai-Quellcode und nutzen die exponentiell wachsende Zahl unsicherer IoT-Geräte aus.

Doch warum gelingt es den Angreifern immer wieder, diese Zombie-Armee auferstehen zu lassen?

Der perfekte Sturm: ShadowV2 tarnt sich im Chaos

Die Analyse von Fortinet zeichnet ein besorgniserregendes Bild. ShadowV2 infizierte IoT-Geräte in 28 Ländern – zeitlich exakt abgestimmt auf den großflächigen AWS-Ausfall Ende Oktober. “Die Malware war ausschließlich während des großen AWS-Ausfalls aktiv”, heißt es im FortiGuard-Bericht. “Wir gehen davon aus, dass dies ein Testlauf für zukünftige Angriffe war.”

Viele Unternehmen sind auf solche Angriffe nicht vorbereitet – laut aktuellen Berichten riskieren 73% der Firmen erhebliche Ausfallzeiten bei großflächigen DDoS-Attacken. Ein kostenloses E‑Book liefert praxisnahe Schutzmaßnahmen für IT-Verantwortliche: Netzwerk‑Segmentierung, automatisiertes Patch‑Management, kontinuierliches Monitoring und empfehlenswerte DDoS‑Mitigations, damit Ihre Infrastruktur resilienter wird. Ideal für Geschäftsführer und IT-Security-Teams, die schnelle, umsetzbare Checklisten brauchen. Gratis Cyber-Security-E-Book herunterladen

Diese strategische Vorgehensweise erinnert eher an staatlich unterstützte Akteure als an gewöhnliche Cyberkriminelle. Die Betreiber nutzen das Chaos einer Infrastrukturkrise als Deckmantel – eine Taktik, die maximale Verwirrung bei minimaler Entdeckungsgefahr garantiert.

Die technische Raffinesse ist beachtlich: ShadowV2 setzt auf XOR-verschlüsselte Konfigurationen und verfügt über Backup-Verbindungen zum Command-and-Control-Server. Scheitert die DNS-Auflösung der Domain silverpath.shadowstresser.info, kontaktiert die Malware direkt die IP-Adresse 81.88.18.108.

Bekannte Schwachstellen, alte Hardware

Das Angriffsziel sind Sicherheitslücken in weit verbreiteten Routern und Netzwerkspeichern. Besonders betroffen: Geräte von D-Link, TP-Link, TBK und DigiEver. Die exploitierten Schwachstellen sind durchweg bekannt und dokumentiert:

• CVE-2024-10914: Command Injection in D-Link-Geräten
• CVE-2024-53375: Schwachstelle in TP-Link Archer Routern
• CVE-2023-52163: Lücke in DigiEver Netzwerk-Videorecordern
• CVE-2024-3721: Verwundbarkeit in TBK-DVRs

Das Perfide daran: Patches existieren häufig bereits, werden aber nicht eingespielt. D-Link erklärte sogar offiziell, dass einige betroffene Modelle das Ende ihrer Lebensdauer erreicht haben und keine Updates mehr erhalten. Tausende aktive Geräte bleiben damit dauerhaft verwundbar – perfekter Treibstoff für Botnets.

15,72 Terabit: Der neue Rekord der Zerstörung

Während ShadowV2 auf Heimlichkeit setzt, demonstriert Aisuru pure Gewalt. Der von Microsoft Azure abgewehrte Angriff auf einen Kunden in Australien erreichte unfassbare 15,72 Terabit pro Sekunde und verschickte 3,64 Milliarden Pakete pro Sekunde.

Die Zahlen sind schwer zu begreifen: Der bisherige Rekord wurde pulverisiert. Aisuru, beschrieben als “Turbo Mirai-Klasse” Botnet, nutzte rund 500.000 kompromittierte IP-Adressen – echte Geräte, keine gefälschten Absender. Hauptsächlich heimische Router und Überwachungskameras in Privatnetzen bildeten diese digitale Armee.

“Angreifer skalieren mit dem Internet selbst”, erklärte Sean Whalen, Senior Product Marketing Manager für Azure Platform Security. “Mit steigenden Glasfaser-Geschwindigkeiten und leistungsfähigeren IoT-Geräten klettert die Grundlinie für Angriffsgrößen kontinuierlich.”

Brute Force statt Finesse

Anders als viele moderne Angriffe verzichtete Aisuru auf komplexe Amplifikationstechniken. Stattdessen: hochfrequente UDP-Floods mit zufälligen Quellports. Die fehlende IP-Verschleierung erleichterte zwar die Rückverfolgung zu den Internetanbietern, doch das schiere Volumen machte traditionelle Firewalls ohne Hyperscale-Cloud-Mitigation komplett nutzlos.

Kann ein kompromittierter Toaster wirklich gefährlicher sein als ein gehackter Server? Die Antwort lautet: Ja – wenn Millionen davon gleichzeitig angreifen.

Der untote Mirai-Code: Warum stirbt er nicht?

Seit der Veröffentlichung des Mirai-Quellcodes 2016 ist dieser zur Mutter aller IoT-Botnets geworden. Die aktuelle Welle zeigt: Die Kombination aus ungepatchter Hardware und rasant steigenden Bandbreiten bei Privatkunden schafft ideale Bedingungen.

Vincent Li von FortiGuard Labs bringt es auf den Punkt: “ShadowV2 offenbart, dass IoT-Geräte das schwächste Glied in der Cybersecurity-Kette bleiben.” Die Architektur ähnelt der “LZRD”-Mirai-Variante und zeigt, wie Angreifer Code-Module wie Lego-Bausteine kombinieren.

Das deutsche BSI warnte bereits mehrfach vor ähnlichen Bedrohungen. Zum Vergleich: Während SAP und die Telekom Millionen in IT-Sicherheit investieren, hängen Millionen smarter Türklingeln und Kühlschränke mit Werkspasswörtern am Netz.

Die Weihnachts-Gefahr: Was kommt jetzt?

Die zeitliche Dimension ist kein Zufall. Mit Beginn des Weihnachtsgeschäfts erwarten Experten einen massiven Anstieg der DDoS-Aktivitäten. Botnet-Betreiber vermieten ihre Netzwerke traditionell, um E-Commerce-Konkurrenten zu stören oder Lösegeld von Händlern während der Hochsaison zu erpressen.

ShadowV2 scheint genau dafür vorbereitet zu werden. Der “Testlauf” ist abgeschlossen – die volle Feuerkraft könnte in den kommenden Wochen entfesselt werden.

Was können Unternehmen und Privatpersonen tun?

• Alte Hardware ersetzen: Geräte ohne Update-Support müssen ausgemustert werden – besonders ältere D-Link und TP-Link Modelle
• Netzwerk-Segmentierung: IoT-Geräte gehören in separate VLANs, isoliert von kritischen Systemen
• DDoS-Belastungstests: Unternehmen sollten prüfen, ob ihre Schutzmaßnahmen Multi-Terabit-Angriffe abwehren können – 15 Tbps ist der neue Benchmark

Die Botschaft ist eindeutig: In der IoT-Welt stirbt Code nie wirklich – er entwickelt sich nur weiter. Und mit jeder smarten Glühbirne, die ungeschützt ans Netz geht, wächst die Armee der digitalen Zombies.

PS: Prüfen Sie jetzt, ob Ihre Abwehr einem 15,72 Terabit‑Angriff standhält. Der kostenlose Leitfaden erklärt praxisnahe Maßnahmen — von isolierten IoT‑VLANs über automatisiertes Patch‑Management bis hin zu Cloud-basierten DDoS‑Services — und liefert Checklisten für schnelle Notfallreaktionen vor der Weihnachts‑Hochsaison. So minimieren Sie Ausfallrisiken und schützen Kundenprozesse. Jetzt kostenloses Cyber-Security-Guide anfordern