AISURU/Kimwolf Botnet
Det distribuerede denial-of-service (DDoS) botnet, der spores som AISURU/Kimwolf, er blevet forbundet med et hidtil uset angreb, der toppede med 31,4 terabit per sekund (Tbps). Trods sin ekstreme intensitet var angrebet kort og varede kun 35 sekunder. Hændelsen fandt sted i november 2025 og er nu det største DDoS-angreb nogensinde observeret.
Indholdsfortegnelse
Stigning af hypervolumetriske HTTP-angreb
Sikkerhedsforskere har identificeret denne begivenhed som en del af en bredere stigning i hypervolumetrisk HTTP DDoS-aktivitet drevet af AISURU/Kimwolf i løbet af fjerde kvartal af 2025. Disse angreb repræsenterer en voksende tendens mod angreb af kort varighed, men med ekstraordinær høj kapacitet, der er designet til at overvælde moderne internetinfrastruktur, før traditionelle forsvarssystemer kan reagere fuldt ud.
Kampagnen 'Natten før jul'
AISURU/Kimwolf har også været forbundet med en efterfølgende storstilet operation kendt som The Night Before Christmas, som begyndte den 19. december 2025. I løbet af denne kampagne var der et gennemsnit på 3 milliarder pakker pr. sekund (Bpps), 4 Tbps båndbredde og 54 millioner anmodninger pr. sekund (Mrps) i hypervolumenangreb. Peakniveauerne nåede så højt som 9 Bpps, 24 Tbps og 205 Mrps, hvilket understreger botnettets evne til at generere vedvarende og ekstreme trafikmængder.
Eksplosiv vækst i DDoS-aktivitet i 2025
DDoS-aktiviteten accelererede dramatisk i løbet af 2025 og steg med 121 % år over år. I gennemsnit blev 5.376 angreb automatisk afbødet hver time. Det samlede årlige volumen blev mere end fordoblet og nåede op på cirka 47,1 millioner angreb. Netværksangreb tegnede sig for en betydelig del af denne vækst, hvor 34,4 millioner blev afbødet i 2025 sammenlignet med 11,4 millioner i 2024. Alene i fjerde kvartal repræsenterede netværksangreb 78 % af alle DDoS-hændelser, hvilket afspejler en stigning på 31 % i forhold til det foregående kvartal og en stigning på 58 % i forhold til 2024.
Eskalering i skala og frekvens
I sidste kvartal af 2025 oplevede man en stigning på 40 % i hypervolumetriske angreb sammenlignet med det foregående kvartal, fra 1.304 til 1.824 hændelser. Tidligere på året blev der kun registreret 717 sådanne angreb i første kvartal. Ud over hyppigheden steg angrebenes omfang også betydeligt, med størrelser, der voksede med mere end 700 % sammenlignet med store angreb observeret i slutningen af 2024.
Botnet-ekspansion gennem kompromitterede enheder
AISURU/Kimwolf vurderes at kontrollere et botnet med mere end to millioner Android-enheder. Størstedelen er kompromitterede Android-fjernsyn af andre mærker, der i hemmelighed er blevet registreret og dirigeret via private proxy-netværk som IPIDEA. Disse proxy-tjenester er blevet udnyttet til at skjule angrebets oprindelse og forstærke trafikken.
Forstyrrelse af proxyinfrastruktur og retssager
Som reaktion på disse aktiviteter har eksperter for nylig forstyrret IPIDEA's private proxynetværk og iværksat juridiske foranstaltninger for at afvikle snesevis af domæner, der bruges til kommando- og kontroloperationer og trafikproxying. Nedlukningen forstyrrede også IPIDEAs domæneopløsningskapacitet og forringede dets evne til at administrere inficerede enheder og kommercialisere sine proxytjenester betydeligt. Talrige konti og domæner blev suspenderet, efter at de var blevet identificeret som havende potentiale til at fremme distribution af malware og ulovlig adgang til private proxynetværk.
Malwaredistribution og skjult proxytilmelding
Undersøgelser tyder på, at IPIDEA registrerede enheder via mindst 600 trojaniserede Android-applikationer, der integrerede proxy-softwareudviklingssæt, samt mere end 3.000 trojaniserede Windows-binære filer forklædt som OneDrive-synkroniseringsværktøjer eller Windows-opdateringer. Derudover reklamerede den Beijing-baserede virksomhed for VPN- og proxy-applikationer, der lydløst konverterede brugernes Android-enheder til proxy-exitnoder uden brugerens bevidsthed eller samtykke. Operatører er også blevet forbundet med mindst et dusin private proxy-tjenester, der præsenterede sig selv som legitime tilbud, mens de i sidste ende fodrede til en centraliseret IPIDEA-kontrolleret infrastruktur.
Vigtigste DDoS-tendenser observeret i 4. kvartal 2025
Målrettede sektorer, berørte regioner og angrebsoprindelse: Telekommunikationsudbydere og -operatører var de mest målrettede organisationer, efterfulgt af sektorerne inden for informationsteknologi, gambling, spil og computersoftware. De mest angrebne lande omfattede Kina, Hongkong, Tyskland, Brasilien, USA, Storbritannien, Vietnam, Aserbajdsjan, Indien og Singapore. Bangladesh viste sig at være den største kilde til DDoS-trafik og overgik Indonesien, med andre fremtrædende kilder, herunder Ecuador, Argentina, Hongkong, Ukraine, Taiwan, Singapore og Peru.
Implikationer for defensive strategier
DDoS-angreb er hastigt stigende i både sofistikering og omfang og overstiger langt tidligere forventede grænser. Dette udviklende trusselsbillede udgør alvorlige udfordringer for organisationer, der forsøger at holde trit med traditionelle forsvarsmekanismer. Virksomheder, der fortsat primært er afhængige af lokale afværgeforanstaltninger eller on-demand-scrubcentre, kan være nødt til at revurdere deres DDoS-beskyttelsesstrategier for at imødegå realiteterne af hypervolumetriske angreb af kort varighed.
