AISURU/Kimwolf Botnet
Distribuirani botnet za uskraćivanje usluge (DDoS) praćen kao AISURU/Kimwolf povezan je s neviđenim napadom koji je dosegao vrhunac od 31,4 terabita u sekundi (Tbps). Unatoč ekstremnom intenzitetu, napad je bio kratak, trajao je samo 35 sekundi. Incident se dogodio u studenom 2025. i sada se smatra najvećim DDoS napadom ikad viđenim.
Sadržaj
Porast hipervolumetrijskih HTTP napada
Sigurnosni istraživači identificirali su ovaj događaj kao dio šireg porasta hipervolumetrijske HTTP DDoS aktivnosti koju je potaknuo AISURU/Kimwolf tijekom četvrtog tromjesečja 2025. Ovi napadi predstavljaju rastući trend prema kratkotrajnim, ali iznimno visokopropusnim napadima osmišljenim da preopterete modernu internetsku infrastrukturu prije nego što tradicionalne obrane mogu u potpunosti reagirati.
Kampanja 'Noć prije Božića'
AISURU/Kimwolf je također bio povezan s naknadnom velikom operacijom poznatom kao Noć prije Božića, koja je započela 19. prosinca 2025. Tijekom ove kampanje, hipervolumetrijski napadi u prosjeku su iznosili 3 milijarde paketa u sekundi (Bpps), 4 Tbps propusnosti i 54 milijuna zahtjeva u sekundi (Mrps). Vrhunske razine dosezale su čak 9 Bpps, 24 Tbps i 205 Mrps, što naglašava sposobnost botneta da generira održive i ekstremne količine prometa.
Eksplozivan rast DDoS aktivnosti u 2025. godini
DDoS aktivnost dramatično se ubrzala tijekom 2025., povećavajući se za 121% u odnosu na prethodnu godinu. U prosjeku je 5376 napada automatski ublaženo svakog sata. Ukupni godišnji volumen više se nego udvostručio, dosegnuvši približno 47,1 milijun napada. Napadi na mrežnoj razini činili su znatan dio ovog rasta, s 34,4 milijuna ublaženih napada u 2025. u usporedbi s 11,4 milijuna u 2024. Samo u četvrtom tromjesečju, napadi na mrežnoj razini predstavljali su 78% svih DDoS incidenata, što odražava povećanje od 31% u odnosu na prethodno tromjesečje i povećanje od 58% u usporedbi s 2024. godinom.
Eskalacija u opsegu i učestalosti
U posljednjem tromjesečju 2025. zabilježen je porast hipervolumetrijskih napada od 40% u usporedbi s prethodnim tromjesečjem, s 1304 na 1824 incidenta. Ranije ove godine, u prvom tromjesečju zabilježeno je samo 717 takvih napada. Osim same učestalosti, značajno se povećala i magnituda napada, s veličinom koja je porasla za više od 700% u usporedbi s napadima velikih razmjera uočenim krajem 2024.
Širenje botneta putem kompromitiranih uređaja
Procjenjuje se da AISURU/Kimwolf kontrolira botnet od više od dva milijuna Android uređaja. Većina su kompromitirani Android televizori drugih marki koji su tajno registrirani i usmjeravani putem stambenih proxy mreža poput IPIDEA. Ove proxy usluge iskorištene su za prikrivanje porijekla napada i pojačavanje prometa.
Poremećaj proxy infrastrukture i pravni postupci
Kao odgovor na te aktivnosti, stručnjaci su nedavno poremetili IPIDEA-inu stambenu proxy mrežu i pokrenuli pravne mjere za demontiranje desetaka domena korištenih za operacije zapovijedanja i kontrole te proxying prometa. Uklanjanje je također ometalo IPIDEA-ine mogućnosti rješavanja domena, značajno smanjujući njezinu sposobnost upravljanja zaraženim uređajima i komercijalizacije svojih proxy usluga. Brojni računi i domene su suspendirani nakon što je identificirano kao one koji olakšavaju distribuciju zlonamjernog softvera i ilegalni pristup stambenim proxy mrežama.
Distribucija zlonamjernog softvera i prikriveno prijavljivanje proxyja
Istrage pokazuju da je IPIDEA registrirala uređaje putem najmanje 600 trojanskih Android aplikacija koje ugrađuju komplete za razvoj proxy softvera, kao i više od 3000 trojanskih Windows binarnih datoteka prikrivenih kao alati za sinkronizaciju OneDrivea ili Windows ažuriranja. Osim toga, operacija sa sjedištem u Pekingu reklamirala je VPN i proxy aplikacije koje su tiho pretvarale korisničke Android uređaje u izlazne proxy čvorove bez znanja ili pristanka korisnika. Operateri su također povezani s najmanje desetak rezidencijalnih proxy usluga koje su se predstavljale kao legitimne ponude, a u konačnici su se napajale centraliziranom infrastrukturom koju kontrolira IPIDEA.
Ključni DDoS trendovi uočeni u četvrtom kvartalu 2025.
Ciljani sektori, pogođene regije i podrijetlo napada: Pružatelji telekomunikacijskih usluga i operateri bili su najčešće ciljane organizacije, a slijede sektori informacijske tehnologije, kockanja, igara i računalnog softvera. Među najnapadanijim zemljama bile su Kina, Hong Kong, Njemačka, Brazil, Sjedinjene Američke Države, Ujedinjeno Kraljevstvo, Vijetnam, Azerbajdžan, Indija i Singapur. Bangladeš se pojavio kao najveći izvor DDoS prometa, nadmašivši Indoneziju, a među ostalim istaknutim izvorima bili su Ekvador, Argentina, Hong Kong, Ukrajina, Tajvan, Singapur i Peru.
Implikacije za obrambene strategije
DDoS napadi brzo rastu i u sofisticiranosti i u opsegu, daleko premašujući prethodno predviđena ograničenja. Ovaj promjenjivi krajolik prijetnji predstavlja ozbiljne izazove za organizacije koje pokušavaju držati korak koristeći tradicionalne obrane. Poduzeća koja se i dalje prvenstveno oslanjaju na lokalne uređaje za ublažavanje ili centre za čišćenje na zahtjev možda će morati preispitati svoje strategije DDoS zaštite kako bi se suočila sa stvarnošću hipervolumetrijskih, kratkotrajnih napada.
