AISURU/Kimwolf Botnet
Det distribuerte denial-of-service (DDoS)-botnettet som spores som AISURU/Kimwolf har blitt knyttet til et enestående angrep som nådde en topp på 31,4 terabit per sekund (Tbps). Til tross for den ekstreme intensiteten var angrepet kort og varte bare i 35 sekunder. Hendelsen skjedde i november 2025 og står nå som det største DDoS-angrepet som noen gang er observert.
Innholdsfortegnelse
Fremveksten av hypervolumetriske HTTP-angrep
Sikkerhetsforskere har identifisert denne hendelsen som en del av en bredere økning i hypervolumetrisk HTTP DDoS-aktivitet drevet av AISURU/Kimwolf i løpet av fjerde kvartal 2025. Disse angrepene representerer en økende trend mot kortvarige, men ekstraordinært høykapasitetsangrep designet for å overvelde moderne internettinfrastruktur før tradisjonelt forsvar kan reagere fullt ut.
Kampanjen «Natten før jul»
AISURU/Kimwolf har også vært koblet til en påfølgende storstilt operasjon kjent som The Night Before Christmas, som startet 19. desember 2025. I løpet av denne kampanjen var hypervolumetriske angrep i gjennomsnitt 3 milliarder pakker per sekund (Bpps), 4 Tbps båndbredde og 54 millioner forespørsler per sekund (Mrps). Toppnivåene nådde så høye som 9 Bpps, 24 Tbps og 205 Mrps, noe som understreker botnettets evne til å generere vedvarende og ekstreme trafikkvolumer.
Eksplosiv vekst i DDoS-aktivitet i 2025
DDoS-aktiviteten akselererte dramatisk gjennom 2025, og økte med 121 % fra år til år. I gjennomsnitt ble 5376 angrep automatisk dempet hver time. Det totale årlige volumet mer enn doblet seg og nådde omtrent 47,1 millioner angrep. Nettverksangrep sto for en betydelig del av denne veksten, med 34,4 millioner dempet i 2025 sammenlignet med 11,4 millioner i 2024. Bare i fjerde kvartal representerte nettverksangrep 78 % av alle DDoS-hendelser, noe som gjenspeiler en økning på 31 % i forhold til forrige kvartal og en økning på 58 % sammenlignet med 2024.
Eskalering i skala og frekvens
I siste kvartal av 2025 så man en økning på 40 % i hypervolumetriske angrep sammenlignet med forrige kvartal, fra 1304 til 1824 hendelser. Tidligere i år ble det bare registrert 717 slike angrep i første kvartal. Utover ren hyppighet økte også angrepsomfanget betydelig, med størrelser som økte med mer enn 700 % sammenlignet med store angrep observert sent i 2024.
Botnet-utvidelse gjennom kompromitterte enheter
AISURU/Kimwolf vurderes å kontrollere et botnett med mer enn to millioner Android-enheter. Majoriteten er kompromitterte Android-TV-er av andre merkevarer som har blitt i hemmelighet registrert og rutet gjennom proxy-nettverk for boliger, som IPIDEA. Disse proxy-tjenestene har blitt utnyttet til å skjule angrepets opprinnelse og forsterke trafikken.
Forstyrrelse av proxy-infrastruktur og rettslige skritt
Som svar på disse aktivitetene har eksperter nylig forstyrret IPIDEAs proxy-nettverk for private og iverksatt rettslige tiltak for å demontere dusinvis av domener som brukes til kommando- og kontrolloperasjoner og trafikkproxy. Fjerningen forstyrret også IPIDEAs evner til å løse domener, noe som betydelig svekket IPIDEAs evne til å administrere infiserte enheter og kommersialisere proxy-tjenestene. Tallrike kontoer og domener ble suspendert etter å ha blitt identifisert som å legge til rette for distribusjon av skadelig programvare og ulovlig tilgang til proxy-nettverk for private.
Distribusjon av skadelig programvare og registrering av skjult proxy
Undersøkelser tyder på at IPIDEA registrerte enheter gjennom minst 600 trojanere i Android-applikasjoner som innebygde utviklingssett for proxy-programvare, samt mer enn 3000 trojanere i Windows-binærfiler forkledd som OneDrive-synkroniseringsverktøy eller Windows-oppdateringer. I tillegg annonserte den Beijing-baserte virksomheten VPN- og proxy-applikasjoner som i stillhet konverterte brukernes Android-enheter til proxy-utgangsnoder uten brukerens bevissthet eller samtykke. Operatører har også blitt koblet til minst et dusin proxy-tjenester for private som presenterte seg som legitime tilbud, samtidig som de til slutt matet inn i en sentralisert IPIDEA-kontrollert infrastruktur.
Viktige DDoS-trender observert i 4. kvartal 2025
Målrettede sektorer, berørte regioner og angrepsopprinnelse: Telekommunikasjonsleverandører og -operatører var de mest målrettede organisasjonene, etterfulgt av sektorene innen informasjonsteknologi, gambling, spill og programvare. De mest angrepne landene inkluderte Kina, Hongkong, Tyskland, Brasil, USA, Storbritannia, Vietnam, Aserbajdsjan, India og Singapore. Bangladesh fremsto som den største kilden til DDoS-trafikk, og overgikk Indonesia, med andre fremtredende kilder inkludert Ecuador, Argentina, Hongkong, Ukraina, Taiwan, Singapore og Peru.
Implikasjoner for defensive strategier
DDoS-angrep øker raskt i både raffinement og omfang, og overgår langt tidligere forventede grenser. Dette utviklende trussellandskapet byr på alvorlige utfordringer for organisasjoner som prøver å holde tritt med tradisjonelle forsvarsmekanismer. Bedrifter som fortsatt hovedsakelig er avhengige av lokale tiltaksutstyr eller sikkerhetssentre på forespørsel, må kanskje revurdere sine DDoS-beskyttelsesstrategier for å håndtere realiteten av hypervolumetriske angrep med kort varighet.
