Botnet AISURU/Kimwolf
Το botnet κατανεμημένης άρνησης υπηρεσίας (DDoS) που εντοπίστηκε ως AISURU/Kimwolf έχει συνδεθεί με μια άνευ προηγουμένου επίθεση που κορυφώθηκε στα 31,4 terabit ανά δευτερόλεπτο (Tbps). Παρά την ακραία έντασή της, η επίθεση ήταν σύντομη, διαρκώντας μόνο 35 δευτερόλεπτα. Το περιστατικό συνέβη τον Νοέμβριο του 2025 και πλέον αποτελεί τη μεγαλύτερη επίθεση DDoS που έχει παρατηρηθεί ποτέ.
Πίνακας περιεχομένων
Αύξηση των Υπερ-Ογκομετρικών Επιθέσεων HTTP
Οι ερευνητές ασφαλείας έχουν εντοπίσει αυτό το συμβάν ως μέρος μιας ευρύτερης αύξησης της υπερ-ογκομετρικής δραστηριότητας HTTP DDoS που οφείλεται στις επιθέσεις AISURU/Kimwolf κατά το τέταρτο τρίμηνο του 2025. Αυτές οι επιθέσεις αντιπροσωπεύουν μια αυξανόμενη τάση προς επιθέσεις μικρής διάρκειας αλλά εξαιρετικά υψηλής απόδοσης, σχεδιασμένες να υπερφορτώσουν τη σύγχρονη υποδομή του διαδικτύου προτού οι παραδοσιακές άμυνες μπορέσουν να αντιδράσουν πλήρως.
Εκστρατεία «Η νύχτα πριν τα Χριστούγεννα»
Το AISURU/Kimwolf έχει επίσης συνδεθεί με μια επακόλουθη επιχείρηση μεγάλης κλίμακας γνωστή ως The Night Before Christmas, η οποία ξεκίνησε στις 19 Δεκεμβρίου 2025. Κατά τη διάρκεια αυτής της εκστρατείας, οι υπερ-ογκομετρικές επιθέσεις είχαν κατά μέσο όρο 3 δισεκατομμύρια πακέτα ανά δευτερόλεπτο (Bpps), 4 Tbps εύρους ζώνης και 54 εκατομμύρια αιτήματα ανά δευτερόλεπτο (Mrps). Τα μέγιστα επίπεδα έφτασαν τα 9 Bpps, 24 Tbps και 205 Mrps, υπογραμμίζοντας την ικανότητα του botnet να δημιουργεί συνεχείς και ακραίους όγκους κίνησης.
Εκρηκτική αύξηση της δραστηριότητας DDoS το 2025
Η δραστηριότητα DDoS επιταχύνθηκε δραματικά καθ' όλη τη διάρκεια του 2025, σημειώνοντας αύξηση 121% σε ετήσια βάση. Κατά μέσο όρο, 5.376 επιθέσεις μετριάστηκαν αυτόματα κάθε ώρα. Ο συνολικός ετήσιος όγκος υπερδιπλασιάστηκε, φτάνοντας περίπου τις 47,1 εκατομμύρια επιθέσεις. Οι επιθέσεις επιπέδου δικτύου αντιπροσώπευαν ένα σημαντικό μέρος αυτής της αύξησης, με 34,4 εκατομμύρια να μετριάζονται το 2025 σε σύγκριση με 11,4 εκατομμύρια το 2024. Μόνο στο τέταρτο τρίμηνο, οι επιθέσεις επιπέδου δικτύου αντιπροσώπευαν το 78% όλων των περιστατικών DDoS, αντανακλώντας αύξηση 31% σε σχέση με το προηγούμενο τρίμηνο και αύξηση 58% σε σύγκριση με το 2024.
Κλιμάκωση σε κλίμακα και συχνότητα
Το τελευταίο τρίμηνο του 2025 σημειώθηκε αύξηση 40% στις υπερ-ογκομετρικές επιθέσεις σε σύγκριση με το προηγούμενο τρίμηνο, από 1.304 σε 1.824 περιστατικά. Νωρίτερα μέσα στο έτος, καταγράφηκαν μόνο 717 τέτοιες επιθέσεις στο πρώτο τρίμηνο. Πέρα από την απλή συχνότητα, το μέγεθος των επιθέσεων επεκτάθηκε επίσης σημαντικά, με τα μεγέθη να αυξάνονται κατά περισσότερο από 700% σε σύγκριση με τις επιθέσεις μεγάλης κλίμακας που παρατηρήθηκαν στα τέλη του 2024.
Επέκταση Botnet μέσω παραβιασμένων συσκευών
Το AISURU/Kimwolf αξιολογείται ότι ελέγχει ένα botnet με περισσότερες από δύο εκατομμύρια συσκευές Android. Η πλειονότητα είναι παραβιασμένες, τηλεοράσεις Android εκτός μάρκας που έχουν εγγραφεί κρυφά και δρομολογηθεί μέσω οικιακών δικτύων proxy όπως το IPIDEA. Αυτές οι υπηρεσίες proxy έχουν αξιοποιηθεί για να αποκρύψουν την προέλευση των επιθέσεων και να ενισχύσουν την επισκεψιμότητα.
Διακοπή της υποδομής Proxy και νομικές ενέργειες
Σε απάντηση σε αυτές τις δραστηριότητες, οι ειδικοί πρόσφατα διέκοψαν το οικιακό δίκτυο proxy της IPIDEA και ξεκίνησαν νομικά μέτρα για την κατάργηση δεκάδων domains που χρησιμοποιούνται για επιχειρήσεις διοίκησης και ελέγχου και proxying κυκλοφορίας. Η κατάργηση παρενέβη επίσης στις δυνατότητες ανάλυσης domain της IPIDEA, υποβαθμίζοντας σημαντικά την ικανότητά της να διαχειρίζεται μολυσμένες συσκευές και να εμπορευματοποιεί τις υπηρεσίες proxy της. Πολυάριθμοι λογαριασμοί και domains αναστάλθηκαν αφού εντοπίστηκαν ότι διευκολύνουν τη διανομή κακόβουλου λογισμικού και την παράνομη πρόσβαση σε οικιακά δίκτυα proxy.
Διανομή κακόβουλου λογισμικού και μυστική εγγραφή σε διακομιστή μεσολάβησης
Οι έρευνες δείχνουν ότι η IPIDEA ενέγραψε συσκευές μέσω τουλάχιστον 600 εφαρμογών Android που είχαν προσβληθεί από trojan και ενσωμάτωναν κιτ ανάπτυξης λογισμικού proxy, καθώς και περισσότερα από 3.000 δυαδικά αρχεία Windows που είχαν προσβληθεί από trojan και τα οποία μεταμφιέστηκαν σε εργαλεία συγχρονισμού OneDrive ή ενημερώσεις των Windows. Επιπλέον, η επιχείρηση με έδρα το Πεκίνο διαφήμιζε εφαρμογές VPN και proxy που μετέτρεπαν σιωπηλά τις συσκευές Android των χρηστών σε κόμβους εξόδου proxy χωρίς την επίγνωση ή τη συγκατάθεση του χρήστη. Οι πάροχοι έχουν επίσης συνδεθεί με τουλάχιστον δώδεκα οικιακές υπηρεσίες proxy που παρουσιάστηκαν ως νόμιμες προσφορές, ενώ τελικά τροφοδοτούσαν μια κεντρική υποδομή που ελέγχεται από την IPIDEA.
Βασικές τάσεις DDoS που παρατηρήθηκαν στο τέταρτο τρίμηνο του 2025
Στοχευμένοι τομείς, πληγείσες περιοχές και προελεύσεις επίθεσης: Οι πάροχοι και οι πάροχοι τηλεπικοινωνιών ήταν οι πιο στοχευμένοι οργανισμοί, ακολουθούμενοι από τους τομείς της πληροφορικής, των τυχερών παιχνιδιών, των παιχνιδιών και του λογισμικού υπολογιστών. Οι χώρες που δέχτηκαν τις περισσότερες επιθέσεις περιλάμβαναν την Κίνα, το Χονγκ Κονγκ, τη Γερμανία, τη Βραζιλία, τις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, το Βιετνάμ, το Αζερμπαϊτζάν, την Ινδία και τη Σιγκαπούρη. Το Μπαγκλαντές αναδείχθηκε ως η μεγαλύτερη πηγή κίνησης DDoS, ξεπερνώντας την Ινδονησία, με άλλες σημαντικές πηγές να περιλαμβάνουν τον Ισημερινό, την Αργεντινή, το Χονγκ Κονγκ, την Ουκρανία, την Ταϊβάν, τη Σιγκαπούρη και το Περού.
Επιπτώσεις για αμυντικές στρατηγικές
Οι επιθέσεις DDoS αυξάνονται ραγδαία τόσο σε πολυπλοκότητα όσο και σε κλίμακα, ξεπερνώντας κατά πολύ τα προηγουμένως αναμενόμενα όρια. Αυτό το εξελισσόμενο τοπίο απειλών θέτει σοβαρές προκλήσεις για τους οργανισμούς που προσπαθούν να συμβαδίσουν χρησιμοποιώντας παραδοσιακές άμυνες. Οι επιχειρήσεις που συνεχίζουν να βασίζονται κυρίως σε συσκευές μετριασμού επιτόπιων εγκαταστάσεων ή σε κέντρα ελέγχου κατ' απαίτηση (on-demand scrubbing centers) ενδέχεται να χρειαστεί να επανεκτιμήσουν τις στρατηγικές προστασίας DDoS που εφαρμόζουν για να αντιμετωπίσουν την πραγματικότητα των υπερ-ογκωδών, βραχείας διάρκειας επιθέσεων.
