Huge Networks wurde 2014 in Miami gegründet, betreibt sein Geschäft aber überwiegend in Brasilien. Aus dem Schutz von Spieleservern vor DDoS-Angriffen entwickelte sich ein auf ISPs ausgerichteter Anbieter von DDoS-Abwehr. Das Unternehmen taucht laut KrebsOnSecurity in keinen öffentlichen Missbrauchsbeschwerden auf und steht mit keinem bekannten DDoS-Mietdienst in Verbindung.

Dennoch belegt das offengelegte Archiv, dass ein Angreifer das Internet systematisch nach unsicheren Routern und offen erreichbaren DNS-Servern absuchte, um sie für Angriffe einzuspannen. Im Mittelpunkt standen sogenannte DNS-Reflection-Angriffe: Über falsch konfigurierte DNS-Server, die Anfragen von beliebigen Adressen beantworten, lassen sich gefälschte Anfragen so stellen, dass die Antworten an das Ziel gehen. Durch eine DNS-Erweiterung für große Nachrichten lässt sich der Effekt verstärken – eine Anfrage von unter 100 Byte kann eine 60- bis 70-mal größere Antwort auslösen, besonders wirksam, wenn Zehntausende kompromittierte Geräte gleichzeitig anfragen.

Eine Befehlszeilen-Historie im Archiv zeigt, wie der Angreifer das Botnet aufbaute: Es suchte gezielt nach TP-Link-Routern des Modells Archer AX21, die noch für CVE-2023-1389 anfällig sind – eine Schwachstelle zur Befehlsinjektion ohne Authentifizierung, die bereits im April 2023 geschlossen wurde. Die Python-Skripte enthielten DNS-Abfragen für die Domains hikylover[.]st und c.loyaltyservices[.]lol, die im vergangenen Jahr als Steuerserver eines auf einer Mirai-Variante basierenden IoT-Botnets auffielen.

Das Scannen koordinierte der Botmaster von einem Digital-Ocean-Server aus, der im vergangenen Jahr hunderte Male wegen missbräuchlicher Aktivität gemeldet wurde. Die Skripte nutzten mehrere Huge Networks zugewiesene IP-Adressen zur Zielauswahl und Ausführung. Die Angriffe blieben strikt auf brasilianische IP-Bereiche beschränkt; jedes ausgewählte Präfix wurde 10 bis 60 Sekunden lang mit vier parallelen Prozessen pro Host angegriffen, bevor das Botnet zum nächsten Ziel weiterzog. Verwendet wurden dabei die privaten SSH-Schlüssel von Geschäftsführer Erick Nascimento.

Nascimento erklärte gegenüber KrebsOnSecurity, er habe die Angriffsprogramme nicht geschrieben und das Ausmaß der Kampagnen erst durch die Anfrage erkannt. „Wir haben sehr große DDoS-Angriffe gegen kleine ISPs registriert und an viele Tier-1-Upstreams gemeldet“, sagte er. „Wir sind damals nicht tief genug eingestiegen, und was Sie geschickt haben, macht das deutlich.“

Die unbefugte Aktivität bringt er mit einem im Januar 2026 erstmals entdeckten Einbruch in Verbindung, bei dem zwei Entwicklungsserver sowie seine persönlichen SSH-Schlüssel kompromittiert wurden. Für eine Nutzung der Schlüssel nach Januar gebe es keine Belege; man habe die Systeme noch am selben Tag bereinigt und die Schlüssel ausgetauscht. Digital Ocean habe einen kompromittierten Droplet am 11. Januar wegen eines geleakten SSH-Schlüssels markiert; dieser sei nie Teil der Infrastruktur von Huge Networks gewesen und inzwischen abgeschaltet. Eine externe Forensik-Firma untersuche den Vorfall.

Die Schadsoftware basiert auf Mirai, das im September 2016 mit einem damals rekordverdächtigen DDoS-Angriff debütierte, der die Website von KrebsOnSecurity vier Tage lang lahmlegte. Im Mai 2025 traf KrebsOnSecurity ein weiterer Mirai-basierter Angriff, den Google als den größten je von ihm abgewehrten bezeichnete.

Nascimento bestritt, DDoS-Angriffe gegen brasilianische Betreiber zu fahren, um Aufträge zu generieren. Die Ziele in den Skripten seien kleine regionale Anbieter, die überwiegend weder zu seinen Kunden noch zu seinem Vertriebsumfeld gehörten. Er verfügt nach eigener Aussage über „starke, auf der Blockchain gespeicherte Beweise“, dass ein Wettbewerber dahinterstecke – dessen Namen er aber nicht nennen wollte.