AISURU/Kimwolf Botnet

רשת הבוטים המבוזרת של מניעת שירות (DDoS) שעקבה אחריה בשם AISURU/Kimwolf נקשרה למתקפה חסרת תקדים שהגיעה לשיאה ל-31.4 טרה-ביט לשנייה (Tbps). למרות עוצמתה הקיצונית, המתקפה הייתה קצרה ונמשכה 35 שניות בלבד. האירוע התרחש בנובמבר 2025 וכעת נחשב למתקפת ה-DDoS הגדולה ביותר שנצפתה אי פעם.

עלייתן של התקפות HTTP היפר-וולומטריות

חוקרי אבטחה זיהו אירוע זה כחלק מגאות רחבה יותר בפעילות DDoS היפר-נפחית של HTTP, שהונעה על ידי AISURU/Kimwolf במהלך הרבעון הרביעי של 2025. התקפות אלו מייצגות מגמה הולכת וגוברת של התקפות קצרות טווח אך בעלות תפוקה גבוהה במיוחד, שנועדו להציף את תשתית האינטרנט המודרנית לפני שההגנות המסורתיות יכולות להגיב באופן מלא.

קמפיין “הלילה שלפני חג המולד”

AISURU/Kimwolf נקשרה גם למבצע רחב היקף נוסף בשם "הלילה שלפני חג המולד", שהחל ב-19 בדצמבר 2025. במהלך קמפיין זה, התקפות היפר-נפחיות הסתכמו בממוצע ב-3 מיליארד חבילות לשנייה (Bpps), רוחב פס של 4 Tbps ו-54 מיליון בקשות לשנייה (Mrps). רמות השיא הגיעו ל-9 Bpps, 24 Tbps ו-205 Mrps, מה שהדגיש את יכולתו של הבוטנט לייצר נפחי תנועה מתמשכים וקיצוניים.

צמיחה חדה בפעילות DDoS בשנת 2025

פעילות ה-DDoS הואצה באופן דרמטי לאורך שנת 2025, וגדלה ב-121% משנה לשנה. בממוצע, 5,376 התקפות דוכאו אוטומטית בכל שעה. הנפח השנתי הכולל יותר מהוכפל, והגיע לכ-47.1 מיליון התקפות. התקפות בשכבת הרשת היוו חלק ניכר מצמיחה זו, כאשר 34.4 מיליון התקפות דוכאו בשנת 2025 לעומת 11.4 מיליון בשנת 2024. ברבעון הרביעי בלבד, התקפות בשכבת הרשת היוו 78% מכלל אירועי ה-DDoS, המשקפים עלייה של 31% לעומת הרבעון הקודם ועלייה של 58% לעומת 2024.

הסלמה בקנה מידה ותדירות

ברבעון האחרון של 2025 נרשמה עלייה של 40% בהתקפות היפר-נפחיות בהשוואה לרבעון הקודם, מ-1,304 ל-1,824 אירועים. מוקדם יותר השנה, רק 717 התקפות כאלה נרשמו ברבעון הראשון. מעבר לתדירות עצמה, גם גודל ההתקפות גדל משמעותית, עם גדלים של יותר מ-700% בהשוואה להתקפות בקנה מידה גדול שנצפו בסוף 2024.

התרחבות בוטנט באמצעות מכשירים פגועים

AISURU/Kimwolf מוערך כשולט ברשת בוטים של יותר משני מיליון מכשירי אנדרואיד. רובם הם טלוויזיות אנדרואיד שנפרצו, שאינן מותגים אחרים, שנרשמו בסתר ונותבו דרך רשתות פרוקסי ביתיות כמו IPIDEA. שירותי פרוקסי אלה נוצלו כדי לטשטש את מקורות התקיפה ולהגביר את התנועה.

שיבוש תשתית פרוקסי ותביעה משפטית

בתגובה לפעילויות אלו, מומחים שיבשו לאחרונה את רשת הפרוקסי הביתית של IPIDEA ונקטו צעדים משפטיים לפירוק עשרות דומיינים המשמשים לפעולות פיקוד ובקרה ופרוקסי תעבורה. ההסרה גם הפריעה ליכולות זיהוי הדומיינים של IPIDEA, ופגעה משמעותית ביכולתה לנהל מכשירים נגועים ולמסחר את שירותי הפרוקסי שלה. חשבונות ודומיינים רבים הושעו לאחר שזוהו כמסייעים להפצת תוכנות זדוניות וגישה בלתי חוקית לרשתות פרוקסי ביתיות.

הפצת תוכנות זדוניות ורישום פרוקסי סמוי

חקירות מצביעות על כך ש-IPIDEA רשמה מכשירים באמצעות לפחות 600 אפליקציות אנדרואיד טרויאניות שהטמיעו ערכות פיתוח תוכנה לפרוקסי, כמו גם יותר מ-3,000 קבצים בינאריים של Windows טרויאניים במסווה של כלי סנכרון OneDrive או עדכוני Windows. בנוסף, הפעילות שבסיסה בבייג'ינג פרסמה יישומי VPN ופרוקסי שהמירו בשקט את מכשירי האנדרואיד של המשתמשים לצמתי יציאה של פרוקסי ללא מודעות או הסכמת המשתמש. מפעילים נקשרו גם לפחות לתריסר שירותי פרוקסי ביתיים שהציגו את עצמם כהצעות לגיטימיות, ובסופו של דבר הזינו תשתית מרכזית הנשלטת על ידי IPIDEA.

מגמות מפתח ב-DDoS שנצפו ברבעון הרביעי של 2025

מגזרים מוכוונים, אזורים שנפגעו ומקורות התקיפה: ספקי וספקי שירותי תקשורת היו הארגונים המותקפים ביותר, ואחריהם מגזרי טכנולוגיית המידע, ההימורים, המשחקים ותוכנת המחשב. המדינות שהותקפו ביותר כללו את סין, הונג קונג, גרמניה, ברזיל, ארצות הברית, בריטניה, וייטנאם, אזרבייג'ן, הודו וסינגפור. בנגלדש התגלתה כמקור הגדול ביותר לתעבורת DDoS, ועקפה את אינדונזיה, כאשר מקורות בולטים אחרים כוללים את אקוודור, ארגנטינה, הונג קונג, אוקראינה, טייוואן, סינגפור ופרו.

השלכות על אסטרטגיות הגנתיות

מתקפות DDoS גדלות במהירות הן מבחינת תחכום והן מבחינת היקף, ועולות בהרבה על המגבלות הצפויות. נוף איומים מתפתח זה מציב אתגרים משמעותיים לארגונים המנסים לעמוד בקצב באמצעות הגנות מסורתיות. ארגונים הממשיכים להסתמך בעיקר על אמצעי הפחתה מקומיים או מרכזי ניקוי לפי דרישה עשויים להזדקק להעריך מחדש את אסטרטגיות ההגנה שלהם מפני DDoS כדי להתמודד עם המציאות של מתקפות היפר-נפחיות וקצרות טווח.