AISURU/Kimwolf Botnet
Разпределеният ботнет за отказ от услуга (DDoS), проследен като AISURU/Kimwolf, е свързан с безпрецедентна атака, достигнала пик от 31,4 терабита в секунда (Tbps). Въпреки изключителната си интензивност, атаката е била кратка, продължила е само 35 секунди. Инцидентът се е случил през ноември 2025 г. и сега е най-голямата DDoS атака, наблюдавана някога.
Съдържание
Възход на хипер-обемните HTTP атаки
Изследователите по сигурността са идентифицирали това събитие като част от по-широк скок в хипер-обемната HTTP DDoS активност, предизвикана от AISURU/Kimwolf през четвъртото тримесечие на 2025 г. Тези атаки представляват нарастваща тенденция към краткотрайни, но изключително високопроизводителни атаки, предназначени да претоварят съвременната интернет инфраструктура, преди традиционните защити да могат да реагират напълно.
Кампанията „Нощта преди Коледа“
AISURU/Kimwolf е свързана и с последваща мащабна операция, известна като „Нощта преди Коледа“, която започна на 19 декември 2025 г. По време на тази кампания, хиперобемните атаки са достигнали средно 3 милиарда пакета в секунда (Bpps), 4 Tbps честотна лента и 54 милиона заявки в секунда (Mrps). Пиковите нива достигат 9 Bpps, 24 Tbps и 205 Mrps, което подчертава способността на ботнета да генерира устойчиви и екстремни обеми трафик.
Експлозивен растеж на DDoS активността през 2025 г.
DDoS активността се ускори драстично през 2025 г., увеличавайки се със 121% на годишна база. Средно 5376 атаки бяха автоматично смекчени всеки час. Общият годишен обем се увеличи повече от два пъти, достигайки приблизително 47,1 милиона атаки. Атаките на мрежово ниво представляват значителна част от този растеж, като 34,4 милиона бяха смекчени през 2025 г. в сравнение с 11,4 милиона през 2024 г. Само през четвъртото тримесечие атаките на мрежово ниво представляват 78% от всички DDoS инциденти, което отразява 31% увеличение спрямо предходното тримесечие и 58% увеличение спрямо 2024 г.
Ескалация по мащаб и честота
През последното тримесечие на 2025 г. се наблюдава 40% увеличение на хиперобемните атаки в сравнение с предходното тримесечие, като броят им се е увеличил от 1304 на 1824 инцидента. По-рано през годината през първото тримесечие са регистрирани само 717 такива атаки. Освен честотата, мащабът на атаките също се е увеличил значително, като размерите са нараснали с над 700% в сравнение с мащабните атаки, наблюдавани в края на 2024 г.
Разширяване на ботнет мрежата чрез компрометирани устройства
Смята се, че AISURU/Kimwolf контролира ботнет мрежа от над два милиона Android устройства. По-голямата част от тях са компрометирани Android телевизори с други марки, които са тайно регистрирани и маршрутизирани през жилищни прокси мрежи като IPIDEA. Тези прокси услуги са използвани за прикриване на произхода на атаките и увеличаване на трафика.
Прекъсване на прокси инфраструктурата и правни действия
В отговор на тези дейности, експерти наскоро нарушиха мрежата от жилищни прокси сървъри на IPIDEA и предприеха правни мерки за премахване на десетки домейни, използвани за командно-контролни операции и проксиране на трафик. Премахването също така попречи на възможностите на IPIDEA за разрешаване на домейни, като значително намали способността ѝ да управлява заразени устройства и да комерсиализира своите прокси услуги. Многобройни акаунти и домейни бяха спрени, след като бяха идентифицирани като улесняващи разпространението на зловреден софтуер и незаконен достъп до жилищни прокси мрежи.
Разпространение на зловреден софтуер и регистрация на скрито прокси
Разследванията показват, че IPIDEA е регистрирала устройства чрез най-малко 600 троянски приложения за Android, вграждащи комплекти за разработка на прокси софтуер, както и над 3000 троянски двоични файла за Windows, маскирани като инструменти за синхронизиране на OneDrive или актуализации на Windows. Освен това, базираната в Пекин операция е рекламирала VPN и прокси приложения, които тихомълком са превръщали устройствата на потребителите с Android в изходни прокси възли без знанието или съгласието на потребителя. Операторите са били свързани и с най-малко дузина жилищни прокси услуги, които са се представяли като легитимни предложения, докато в крайна сметка са захранвали централизирана инфраструктура, контролирана от IPIDEA.
Ключови DDoS тенденции, наблюдавани през четвъртото тримесечие на 2025 г.
Целеви сектори, засегнати региони и произход на атаките: Доставчиците и операторите на телекомуникации бяха най-целевите организации, следвани от секторите на информационните технологии, хазарта, игрите и компютърния софтуер. Най-атакуваните страни включваха Китай, Хонконг, Германия, Бразилия, Съединените щати, Обединеното кралство, Виетнам, Азербайджан, Индия и Сингапур. Бангладеш се очерта като най-големият източник на DDoS трафик, изпреварвайки Индонезия, като други важни източници включваха Еквадор, Аржентина, Хонконг, Украйна, Тайван, Сингапур и Перу.
Последици за защитните стратегии
DDoS атаките бързо се увеличават както по сложност, така и по мащаб, далеч надхвърляйки очакваните досега граници. Този развиващ се пейзаж от заплахи представлява сериозни предизвикателства за организациите, които се опитват да се справят с традиционните защити. Предприятията, които продължават да разчитат предимно на локални устройства за смекчаване на риска или центрове за почистване при поискване, може да се нуждаят от преоценка на своите стратегии за DDoS защита, за да се справят с реалностите на хиперобемните, краткотрайни атаки.
