AISURU/Kimwolf botnet
Az AISURU/Kimwolf néven nyomon követett elosztott szolgáltatásmegtagadási (DDoS) botnetet egy példátlan támadással hozták összefüggésbe, amely másodpercenként 31,4 terabit (Tbps) sebességgel tetőzött. Rendkívüli intenzitása ellenére a támadás rövid volt, mindössze 35 másodpercig tartott. Az incidens 2025 novemberében történt, és mára a valaha megfigyelt legnagyobb DDoS-támadásnak számít.
Tartalomjegyzék
A hipervolumetrikus HTTP-támadások térnyerése
A biztonsági kutatók ezt az eseményt az AISURU/Kimwolf által 2025 negyedik negyedévében kiváltott hipervolumetrikus HTTP DDoS-tevékenység szélesebb körű növekedésének részeként azonosították. Ezek a támadások a rövid időtartamú, de rendkívül nagy áteresztőképességű támadások növekvő trendjét képviselik, amelyek célja a modern internetes infrastruktúra túlterhelése, mielőtt a hagyományos védelmi rendszerek teljes mértékben reagálni tudnának.
„Karácsony előtti éjszaka” kampány
Az AISURU/Kimwolfot egy későbbi nagyszabású művelethez is kapcsolták, amely Karácsony előtti éjszaka néven ismert, és 2025. december 19-én kezdődött. E kampány során a hipervolumetrikus támadások átlagosan 3 milliárd csomagot (Bpps), 4 Tbps sávszélességet és 54 millió kérést (Mrps) produkáltak másodpercenként. A csúcsértékek elérték a 9 Bpps, 24 Tbps és 205 Mrps értékeket, ami aláhúzza a botnet azon képességét, hogy tartós és extrém forgalmat generáljon.
A DDoS-aktivitás robbanásszerű növekedése 2025-ben
A DDoS-aktivitás drámaian felgyorsult 2025 folyamán, éves szinten 121%-kal nőtt. Átlagosan óránként 5376 támadást sikerült automatikusan mérsékelni. A teljes éves mennyiség több mint kétszeresére nőtt, elérve a körülbelül 47,1 millió támadást. A hálózati rétegű támadások tették ki ennek a növekedésnek a jelentős részét, 2025-ben 34,4 milliót mérsékeltek, szemben a 2024-es 11,4 millióval. Csak a negyedik negyedévben a hálózati rétegű támadások az összes DDoS-incidens 78%-át tették ki, ami 31%-os növekedést jelent az előző negyedévhez képest és 58%-os növekedést 2024-hez képest.
Léptékbeli és gyakorisági eszkaláció
2025 utolsó negyedévében 40%-kal nőtt a hipervolumetrikus támadások száma az előző negyedévhez képest, 1304-ről 1824 esetre. Az év elején az első negyedévben mindössze 717 ilyen támadást regisztráltak. A puszta gyakoriságon túl a támadások nagyságrendje is jelentősen megnőtt, a méretek több mint 700%-kal nőttek a 2024 végén megfigyelt nagyszabású támadásokhoz képest.
Botnet terjeszkedés feltört eszközökön keresztül
Az AISURU/Kimwolf becslések szerint több mint kétmillió Android-eszközből álló botnetet irányít. Ezek többsége feltört, nem márkás Android-televízió, amelyet titokban regisztráltak és irányítottak lakossági proxy hálózatokon, például az IPIDEA-n keresztül. Ezeket a proxy szolgáltatásokat arra használták, hogy elrejtsék a támadások eredetét és felerősítsék a forgalmat.
A proxy infrastruktúra megzavarása és jogi lépések
Válaszul ezekre a tevékenységekre a szakértők a közelmúltban megzavarták az IPIDEA lakossági proxy hálózatát, és jogi intézkedéseket kezdeményeztek több tucat parancs- és vezérlési műveletekhez, valamint forgalomproxyzáshoz használt domain megszüntetésére. A letiltás az IPIDEA domainfeloldási képességeit is zavarta, jelentősen rontva a fertőzött eszközök kezelésének és proxy szolgáltatásainak kereskedelmi forgalomba hozatalának képességét. Számos fiókot és domaint függesztettek fel, miután azonosították őket, mint amelyek rosszindulatú programok terjesztését és a lakossági proxy hálózatokhoz való illegális hozzáférést segítették elő.
Kártevő terjesztése és titkos proxy regisztráció
A vizsgálatok azt mutatják, hogy az IPIDEA legalább 600 trójai fertőzött, proxy szoftverfejlesztő készleteket tartalmazó Android alkalmazáson, valamint több mint 3000 trójai fertőzött, OneDrive szinkronizációs eszközöknek vagy Windows frissítéseknek álcázott Windows binárison keresztül regisztrált eszközöket. Ezenkívül a pekingi székhelyű művelet VPN- és proxyalkalmazásokat hirdetett, amelyek csendben, a felhasználók tudta és beleegyezése nélkül proxy kilépési csomópontokká alakították a felhasználók Android-eszközeit. Az üzemeltetőket legalább egy tucat lakossági proxy szolgáltatáshoz is összefüggésbe hozták, amelyek legitim ajánlatként tüntették fel magukat, miközben végső soron egy központosított, IPIDEA által ellenőrzött infrastruktúrába táplálták az adatokat.
A 2025 negyedik negyedévében megfigyelt főbb DDoS-trendek
Célzott szektorok, érintett régiók és a támadások eredete: A telekommunikációs szolgáltatók és a mobilszolgáltatók voltak a leginkább célzott szervezetek, őket követték az informatikai, a szerencsejáték-, a játék- és a számítógépes szoftverek szektorai. A legtöbbet támadott országok közé tartozott Kína, Hongkong, Németország, Brazília, az Egyesült Államok, az Egyesült Királyság, Vietnam, Azerbajdzsán, India és Szingapúr. Banglades a DDoS-forgalom legnagyobb forrásaként jelent meg, megelőzve Indonéziát, más kiemelkedő források között pedig Ecuador, Argentína, Hongkong, Ukrajna, Tajvan, Szingapúr és Peru szerepelt.
A védekező stratégiákra vonatkozó következmények
A DDoS-támadások kifinomultsága és mértéke is gyorsan növekszik, messze meghaladva a korábban várt korlátokat. Ez a változó fenyegetési környezet komoly kihívások elé állítja azokat a szervezeteket, amelyek megpróbálnak lépést tartani a hagyományos védelemmel. Azoknak a vállalatoknak, amelyek továbbra is elsősorban a helyszíni védelmi eszközökre vagy az igény szerinti biztonsági központokra támaszkodnak, újra kell értékelniük DDoS-védelmi stratégiáikat, hogy kezelni tudják a hipervolumetrikus, rövid időtartamú támadások realitásait.
