AISURU/Kimwolf-bottiverkko
Hajautettu palvelunestohyökkäys (DDoS) -bottiverkko, jota jäljitetään nimellä AISURU/Kimwolf, on yhdistetty ennennäkemättömään hyökkäykseen, jonka huippunopeus oli 31,4 terabittiä sekunnissa (Tbps). Äärimmäisestä intensiteetisyydestään huolimatta hyökkäys oli lyhyt ja kesti vain 35 sekuntia. Tapaus sattui marraskuussa 2025 ja on nyt suurin koskaan havaittu DDoS-hyökkäys.
Sisällysluettelo
Hypervolumetristen HTTP-hyökkäysten nousu
Tietoturvatutkijat ovat tunnistaneet tämän tapahtuman osaksi laajempaa hypervolumetrisen HTTP DDoS-aktiivisuuden lisääntymistä, jota AISURU/Kimwolf ajoi vuoden 2025 neljännellä neljänneksellä. Nämä hyökkäykset edustavat kasvavaa trendiä kohti lyhytkestoisia mutta poikkeuksellisen suuria hyökkäyksiä, joiden tarkoituksena on ylikuormittaa moderni internet-infrastruktuuri ennen kuin perinteiset puolustuskeinot ehtivät reagoida täysin.
'Joulua edeltävä yö' -kampanja
AISURU/Kimwolf on yhdistetty myös myöhempään laajamittaiseen operaatioon nimeltä The Night Before Christmas, joka alkoi 19. joulukuuta 2025. Tämän kampanjan aikana hypervolumetriset hyökkäykset olivat keskimäärin 3 miljardia pakettia sekunnissa (Bpps), 4 Tbps kaistanleveyttä ja 54 miljoonaa pyyntöä sekunnissa (Mrps). Huipputasot nousivat jopa 9 Bpps:ään, 24 Tbps:ään ja 205 Mrps:ään, mikä korostaa botnetin kykyä tuottaa jatkuvia ja äärimmäisiä liikennemääriä.
DDoS-aktiivisuuden räjähdysmäinen kasvu vuonna 2025
DDoS-aktiivisuus kiihtyi dramaattisesti vuoden 2025 aikana ja kasvoi 121 % vuodessa. Keskimäärin 5 376 hyökkäystä torjuttiin automaattisesti joka tunti. Kokonaismäärä vuodessa yli kaksinkertaistui ja saavutti noin 47,1 miljoonaa hyökkäystä. Verkkokerroksen hyökkäykset muodostivat merkittävän osan tästä kasvusta, sillä vuonna 2025 torjuttiin 34,4 miljoonaa hyökkäystä verrattuna 11,4 miljoonaan vuonna 2024. Pelkästään neljännellä neljänneksellä verkkokerroksen hyökkäykset edustivat 78 % kaikista DDoS-tapauksista, mikä on 31 %:n kasvu edelliseen neljännekseen verrattuna ja 58 %:n kasvu vuoteen 2024 verrattuna.
Laajuuden ja taajuuden eskaloituminen
Vuoden 2025 viimeisellä neljänneksellä hypervolumetristen hyökkäysten määrä kasvoi 40 % edelliseen neljännekseen verrattuna, nousten 1 304 tapauksesta 1 824 tapaukseen. Aiemmin tänä vuonna ensimmäisellä neljänneksellä rekisteröitiin vain 717 tällaista hyökkäystä. Pelkän tiheyden lisäksi myös hyökkäysten laajuus kasvoi merkittävästi, ja niiden koko kasvoi yli 700 % verrattuna vuoden 2024 lopulla havaittuihin laajamittaisiin hyökkäyksiin.
Bottiverkon laajeneminen vaarantuneiden laitteiden kautta
AISURU/Kimwolfin arvioidaan hallitsevan yli kahden miljoonan Android-laitteen bottiverkkoa. Suurin osa on vaarantuneita, muiden merkkien Android-televisioita, jotka on salaa rekisteröity ja reititetty kotitalouksien välityspalvelinverkkojen, kuten IPIDEA:n, kautta. Näitä välityspalveluita on hyödynnetty hyökkäysten alkuperän hämärtämiseen ja liikenteen vahvistamiseen.
Välityspalvelimen infrastruktuurin häiriöt ja oikeustoimet
Vastauksena näihin toimiin asiantuntijat häiritsivät äskettäin IPIDEA:n asuinvälityspalvelinverkkoa ja käynnistivät oikeudellisia toimenpiteitä kymmenien komento- ja valvontaoperaatioihin sekä liikenteen välityspalvelimeen käytettyjen verkkotunnusten purkamiseksi. Poisto häiritsi myös IPIDEA:n verkkotunnusten selvityskykyä, heikentäen merkittävästi sen kykyä hallita tartunnan saaneita laitteita ja kaupallistaa välityspalvelinpalveluitaan. Useita tilejä ja verkkotunnuksia jäädytettiin sen jälkeen, kun niiden havaittiin helpottavan haittaohjelmien levittämistä ja laitonta pääsyä asuinvälityspalvelinverkkoihin.
Haittaohjelmien levitys ja peitellyn välityspalvelimen rekisteröinti
Tutkimukset osoittavat, että IPIDEA rekisteröi laitteita ainakin 600 troijalaisen saastuttaman Android-sovelluksen kautta, joihin oli upotettu välityspalvelinohjelmistojen kehityspaketteja, sekä yli 3 000 troijalaisen saastuttaman Windows-binaarin kautta, jotka oli naamioitu OneDrive-synkronointityökaluiksi tai Windows-päivityksiksi. Lisäksi Pekingissä toimiva operaatio mainosti VPN- ja välityspalvelinsovelluksia, jotka muunsivat käyttäjien Android-laitteet hiljaa välityspalvelimen ulostulosolmuiksi ilman käyttäjän tietämystä tai suostumusta. Operaattoreita on myös yhdistetty ainakin kymmeneen kotitalouksien välityspalvelinpalveluun, jotka esittelivät itseään laillisina tarjouksina, mutta lopulta syöttivät tietoja keskitetysti IPIDEA:n hallitsemaan infrastruktuuriin.
Keskeiset DDoS-trendit vuoden 2025 viimeisellä neljänneksellä
Kohdesektorit, vaikutusalueet ja hyökkäysten lähteet: Televiestintäoperaattorit ja -operaattorit olivat useimmin kohdistettuja organisaatioita, ja niitä seurasivat tietotekniikka, uhkapelit, pelit ja tietokoneohjelmistot. Eniten hyökkäysten kohteena olivat Kiina, Hongkong, Saksa, Brasilia, Yhdysvallat, Yhdistynyt kuningaskunta, Vietnam, Azerbaidžan, Intia ja Singapore. Bangladesh nousi suurimmaksi DDoS-liikenteen lähteeksi ohittaen Indonesian. Muita merkittäviä lähteitä olivat Ecuador, Argentiina, Hongkong, Ukraina, Taiwan, Singapore ja Peru.
Puolustusstrategioiden vaikutukset
DDoS-hyökkäysten sekä hienostuneisuus että laajuus lisääntyvät nopeasti ja ylittävät reilusti aiemmin ennakoidut rajat. Tämä kehittyvä uhkakuva asettaa vakavia haasteita organisaatioille, jotka yrittävät pysyä mukana perinteisten puolustusmenetelmien käytössä. Yritysten, jotka edelleen luottavat ensisijaisesti paikallisiin hyökkäystentorjuntalaitteisiin tai tarvittaessa käytettäviin suojauskeskuksiin, on ehkä arvioitava uudelleen DDoS-suojausstrategiansa voidakseen varautua hypervolumetristen ja lyhytaikaisten hyökkäysten aiheuttamaan tilanteeseen.
