AISURU/Kimwolf-botnet
Het DDoS-botnet AISURU/Kimwolf, dat een ongekende aanval uitvoerde, bereikte een piek van 31,4 terabit per seconde (Tbps). Ondanks de extreme intensiteit was de aanval kortstondig en duurde slechts 35 seconden. Het incident vond plaats in november 2025 en geldt nu als de grootste DDoS-aanval ooit.
Inhoudsopgave
Opkomst van hypervolumetrische HTTP-aanvallen
Beveiligingsonderzoekers hebben dit incident geïdentificeerd als onderdeel van een bredere golf van hypervolumetrische HTTP DDoS-aanvallen, aangestuurd door AISURU/Kimwolf, in het vierde kwartaal van 2025. Deze aanvallen vertegenwoordigen een groeiende trend naar kortdurende, maar buitengewoon krachtige aanvallen die zijn ontworpen om de moderne internetinfrastructuur te overbelasten voordat traditionele verdedigingsmechanismen volledig kunnen reageren.
'De nacht voor Kerstmis'-campagne
AISURU/Kimwolf is ook in verband gebracht met een daaropvolgende grootschalige operatie, bekend als The Night Before Christmas, die begon op 19 december 2025. Tijdens deze campagne genereerden hypervolumetrische aanvallen gemiddeld 3 miljard pakketten per seconde (bps), 4 terabyte aan bandbreedte en 54 miljoen verzoeken per seconde (mrps). De pieken bereikten waarden tot wel 9 bps, 24 terabyte en 205 mrps, wat de capaciteit van het botnet om aanhoudende en extreme verkeersvolumes te genereren onderstreept.
Explosieve groei van DDoS-activiteit in 2025
DDoS-aanvallen namen in 2025 dramatisch toe, met een stijging van 121% ten opzichte van het voorgaande jaar. Gemiddeld werden er elk uur 5.376 aanvallen automatisch afgeweerd. Het totale jaarlijkse volume verdubbelde ruimschoots en bereikte ongeveer 47,1 miljoen aanvallen. Aanvallen op de netwerklaag waren verantwoordelijk voor een aanzienlijk deel van deze groei, met 34,4 miljoen afgeweerde aanvallen in 2025 vergeleken met 11,4 miljoen in 2024. Alleen al in het vierde kwartaal vertegenwoordigden aanvallen op de netwerklaag 78% van alle DDoS-incidenten, een stijging van 31% ten opzichte van het vorige kwartaal en een toename van 58% vergeleken met 2024.
Escalatie in omvang en frequentie
In het laatste kwartaal van 2025 nam het aantal hypervolumetrische aanvallen met 40% toe ten opzichte van het voorgaande kwartaal, van 1.304 naar 1.824 incidenten. Eerder in het jaar werden er in het eerste kwartaal slechts 717 van dergelijke aanvallen geregistreerd. Naast de toename in frequentie, nam ook de omvang van de aanvallen aanzienlijk toe, met een groei van meer dan 700% vergeleken met de grootschalige aanvallen die eind 2024 werden waargenomen.
Uitbreiding van botnets via gecompromitteerde apparaten
AISURU/Kimwolf zou een botnet van meer dan twee miljoen Android-apparaten beheren. Het merendeel hiervan bestaat uit gehackte, merkloze Android-televisies die heimelijk zijn geregistreerd en via residentiële proxynetwerken zoals IPIDEA worden geleid. Deze proxydiensten worden gebruikt om de oorsprong van aanvallen te verbergen en het dataverkeer te versterken.
Verstoring van de proxy-infrastructuur en juridische stappen
Als reactie op deze activiteiten hebben experts onlangs het IPIDEA-netwerk voor residentiële proxy's ontwricht en juridische stappen ondernomen om tientallen domeinen te ontmantelen die werden gebruikt voor command-and-control-operaties en het doorsturen van verkeer. De actie verstoorde ook de domeinresolutiemogelijkheden van IPIDEA, waardoor het bedrijf aanzienlijk minder goed in staat was om geïnfecteerde apparaten te beheren en zijn proxydiensten te commercialiseren. Talrijke accounts en domeinen werden opgeschort nadat was vastgesteld dat ze de verspreiding van malware en illegale toegang tot residentiële proxynetwerken faciliteerden.
Verspreiding van malware en verborgen proxy-registratie
Onderzoek wijst uit dat IPIDEA apparaten registreerde via minstens 600 met trojans besmette Android-applicaties die proxy-softwareontwikkelingskits bevatten, evenals meer dan 3.000 met trojans besmette Windows-binaries die vermomd waren als OneDrive-synchronisatietools of Windows-updates. Daarnaast adverteerde de in Peking gevestigde organisatie met VPN- en proxy-applicaties die de Android-apparaten van gebruikers stilletjes omzetten in proxy-uitgangspunten zonder medeweten of toestemming van de gebruiker. De beheerders zijn ook in verband gebracht met minstens een dozijn residentiële proxydiensten die zich voordeden als legitieme aanbiedingen, terwijl ze uiteindelijk toegang boden tot een gecentraliseerde infrastructuur die door IPIDEA werd beheerd.
Belangrijkste DDoS-trends waargenomen in het vierde kwartaal van 2025
Doelgerichte sectoren, getroffen regio's en oorsprong van de aanvallen: Telecommunicatieproviders en -aanbieders waren de meest getroffen organisaties, gevolgd door de sectoren informatietechnologie, gokken, kansspelen en computersoftware. De meest aangevallen landen waren China, Hongkong, Duitsland, Brazilië, de Verenigde Staten, het Verenigd Koninkrijk, Vietnam, Azerbeidzjan, India en Singapore. Bangladesh ontpopte zich als de grootste bron van DDoS-aanvallen en overtrof daarmee Indonesië. Andere belangrijke bronnen waren Ecuador, Argentinië, Hongkong, Oekraïne, Taiwan, Singapore en Peru.
Implicaties voor verdedigingsstrategieën
DDoS-aanvallen worden steeds geavanceerder en omvangrijker en overschrijden de eerder verwachte limieten ruimschoots. Dit veranderende dreigingslandschap vormt een serieuze uitdaging voor organisaties die met traditionele verdedigingsmechanismen gelijke tred proberen te houden. Bedrijven die voornamelijk vertrouwen op on-premises mitigatieapparatuur of on-demand scrubbingcentra, moeten mogelijk hun DDoS-beschermingsstrategieën herzien om rekening te houden met de realiteit van hypervolumetrische aanvallen van korte duur.
