Botnet AISURU/Kimwolf
Distribuovaný botnet typu denial-of-service (DDoS) sledovaný jako AISURU/Kimwolf byl spojován s bezprecedentním útokem, který dosáhl vrcholu 31,4 terabitů za sekundu (Tbps). Navzdory své extrémní intenzitě byl útok krátký, trval pouhých 35 sekund. K incidentu došlo v listopadu 2025 a nyní je to největší DDoS útok, jaký kdy byl pozorován.
Obsah
Nárůst hypervolumetrických HTTP útoků
Bezpečnostní výzkumníci identifikovali tuto událost jako součást širšího nárůstu hypervolumetrické aktivity HTTP DDoS, kterou v průběhu čtvrtého čtvrtletí roku 2025 způsobily útoky AISURU/Kimwolf. Tyto útoky představují rostoucí trend krátkodobých, ale mimořádně vysoce výkonných útoků, jejichž cílem je zahltit moderní internetovou infrastrukturu dříve, než tradiční obranné mechanismy stihnou plně zareagovat.
Kampaň „Noc před Vánoci“
AISURU/Kimwolf byla také zapojena do následné rozsáhlé operace známé jako Noc před Vánoci, která začala 19. prosince 2025. Během této kampaně dosáhly hypervolumetrické útoky v průměru 3 miliardy paketů za sekundu (Bpps), 4 Tbps šířky pásma a 54 milionů požadavků za sekundu (Mrps). Vrcholové úrovně dosáhly až 9 Bpps, 24 Tbps a 205 Mrps, což podtrhuje schopnost botnetu generovat trvalé a extrémní objemy provozu.
Explozivní nárůst DDoS aktivity v roce 2025
Aktivita DDoS se v průběhu roku 2025 dramaticky zrychlila a meziročně vzrostla o 121 %. V průměru bylo každou hodinu automaticky zmírněno 5 376 útoků. Celkový roční objem se více než zdvojnásobil a dosáhl přibližně 47,1 milionu útoků. Útoky na síťové vrstvě tvořily podstatnou část tohoto růstu, přičemž v roce 2025 bylo zmírněno 34,4 milionu ve srovnání s 11,4 miliony v roce 2024. Jen ve čtvrtém čtvrtletí představovaly útoky na síťové vrstvě 78 % všech incidentů DDoS, což představuje 31% nárůst oproti předchozímu čtvrtletí a 58% nárůst oproti roku 2024.
Eskalace rozsahu a frekvence
V posledním čtvrtletí roku 2025 došlo k 40% nárůstu hypervolumetrických útoků ve srovnání s předchozím čtvrtletím, a to z 1 304 na 1 824 incidentů. Začátkem roku bylo v prvním čtvrtletí zaznamenáno pouze 717 takových útoků. Kromě samotné frekvence se výrazně zvýšil i rozsah útoků, jejichž velikost vzrostla o více než 700 % ve srovnání s rozsáhlými útoky pozorovanými na konci roku 2024.
Rozšíření botnetu prostřednictvím napadených zařízení
Odhaduje se, že AISURU/Kimwolf ovládá botnet s více než dvěma miliony zařízení s operačním systémem Android. Většina z nich jsou napadené televizory s Androidem jiných značek, které byly tajně zaregistrovány a směrovány přes rezidenční proxy sítě, jako je IPIDEA. Tyto proxy služby byly zneužity k zakrytí původu útoků a zesílení provozu.
Narušení proxy infrastruktury a právní kroky
V reakci na tyto aktivity experti nedávno narušili síť rezidenčních proxy serverů IPIDEA a zahájili právní opatření k odstranění desítek domén používaných pro operace velení a řízení a proxying provozu. Toto odstranění také narušilo schopnosti IPIDEA řešit problémy s doménami, což výrazně zhoršilo její schopnost spravovat infikovaná zařízení a komercializovat její proxy služby. Řada účtů a domén byla pozastavena poté, co byly identifikovány jako účty usnadňující distribuci malwaru a nezákonný přístup k rezidenčním proxy sítím.
Distribuce malwaru a skrytá registrace proxy serverů
Vyšetřování naznačuje, že IPIDEA registrovala zařízení prostřednictvím nejméně 600 trojanských aplikací pro Android s vloženými vývojářskými sadami proxy softwaru a také více než 3 000 trojanských binárních souborů Windows maskovaných jako synchronizační nástroje OneDrive nebo aktualizace Windows. Kromě toho operace se sídlem v Pekingu inzerovala VPN a proxy aplikace, které tiše převáděly zařízení uživatelů se systémem Android na výstupní uzly proxy bez vědomí nebo souhlasu uživatele. Provozovatelé byli také propojeni s nejméně tuctem rezidenčních proxy služeb, které se prezentovaly jako legitimní nabídky, ale nakonec napájely centralizovanou infrastrukturu řízenou IPIDEA.
Klíčové trendy DDoS útoků pozorované ve 4. čtvrtletí 2025
Cílová odvětví, postižené regiony a původ útoků: Nejčastěji cílenými organizacemi byli poskytovatelé a operátoři telekomunikačních služeb, následovaní sektory informačních technologií, hazardních her, her a počítačového softwaru. Mezi nejvíce napadené země patřila Čína, Hongkong, Německo, Brazílie, Spojené státy, Spojené království, Vietnam, Ázerbájdžán, Indie a Singapur. Bangladéš se stal největším zdrojem DDoS provozu, překonal Indonésii, a mezi další významné zdroje patřily Ekvádor, Argentina, Hongkong, Ukrajina, Tchaj-wan, Singapur a Peru.
Důsledky pro obranné strategie
DDoS útoky rychle rostou, a to jak co do sofistikovanosti, tak i rozsahu, a daleko překračují dříve očekávané limity. Tato vyvíjející se oblast hrozeb představuje vážné výzvy pro organizace, které se snaží držet krok s tradičními obrannými mechanismy. Podniky, které se i nadále spoléhají primárně na lokální zařízení pro zmírňování rizik nebo centra pro odstraňování útoků na vyžádání, by mohly muset přehodnotit své strategie ochrany proti DDoS, aby řešily realitu hyperobjemových, krátkodobých útoků.
