Botnet AISURU/Kimwolf
Botnet typu DDoS (Distributed Denial of Service) śledzony jako AISURU/Kimwolf został powiązany z bezprecedensowym atakiem, którego prędkość osiągnęła 31,4 terabitów na sekundę (Tbps). Pomimo ekstremalnej intensywności, atak był krótki i trwał zaledwie 35 sekund. Incydent miał miejsce w listopadzie 2025 roku i jest obecnie największym zaobserwowanym atakiem DDoS.
Spis treści
Wzrost liczby ataków HTTP o charakterze hiperwolumetrycznym
Badacze ds. bezpieczeństwa zidentyfikowali to zdarzenie jako część szerszego wzrostu hiperwolumetrycznej aktywności HTTP DDoS napędzanej przez AISURU/Kimwolf w czwartym kwartale 2025 roku. Ataki te reprezentują rosnący trend w kierunku ataków krótkotrwałych, ale o niezwykle dużej przepustowości, mających na celu przeciążenie nowoczesnej infrastruktury internetowej, zanim tradycyjne środki obrony zdążą w pełni zareagować.
Kampania „Noc przed Bożym Narodzeniem”
AISURU/Kimwolf był również powiązany z kolejną, zakrojoną na szeroką skalę operacją znaną jako „Noc przed Bożym Narodzeniem”, która rozpoczęła się 19 grudnia 2025 roku. Podczas tej kampanii ataki hiperwolumetryczne osiągały średnio 3 miliardy pakietów na sekundę (Bpps), przepustowość 4 Tbps i 54 miliony żądań na sekundę (Mrps). W szczytowych momentach osiągały one 9 Bpps, 24 Tbps i 205 Mrps, co podkreśla zdolność botnetu do generowania stałego i ekstremalnego natężenia ruchu.
Gwałtowny wzrost aktywności DDoS w 2025 r.
Aktywność ataków DDoS gwałtownie przyspieszyła w 2025 roku, zwiększając się o 121% rok do roku. Średnio 5376 ataków było automatycznie blokowanych co godzinę. Całkowita roczna liczba ataków wzrosła ponad dwukrotnie, osiągając około 47,1 miliona. Znaczną część tego wzrostu stanowiły ataki na warstwę sieciową – w 2025 roku zablokowano 34,4 miliona ataków w porównaniu z 11,4 miliona w 2024 roku. W samym czwartym kwartale ataki na warstwę sieciową stanowiły 78% wszystkich incydentów DDoS, co oznacza wzrost o 31% w porównaniu z poprzednim kwartałem i o 58% w porównaniu z 2024 rokiem.
Eskalacja skali i częstotliwości
W ostatnim kwartale 2025 roku odnotowano 40% wzrost liczby ataków hiperwolumetrycznych w porównaniu z poprzednim kwartałem, z 1304 do 1824 incydentów. Na początku roku, w pierwszym kwartale, odnotowano zaledwie 717 takich ataków. Oprócz samej częstotliwości, znacząco wzrosła również skala ataków – ich skala wzrosła o ponad 700% w porównaniu z atakami na dużą skalę obserwowanymi pod koniec 2024 roku.
Ekspansja botnetu poprzez zainfekowane urządzenia
Szacuje się, że AISURU/Kimwolf kontroluje botnet liczący ponad dwa miliony urządzeń z Androidem. Większość z nich to zainfekowane telewizory z Androidem innych marek, które zostały potajemnie zarejestrowane i przekierowane przez domowe sieci proxy, takie jak IPIDEA. Te usługi proxy zostały wykorzystane do ukrycia źródła ataku i zwiększenia ruchu.
Zakłócenie infrastruktury proxy i działania prawne
W odpowiedzi na te działania eksperci niedawno zakłócili działanie sieci proxy IPIDEA i podjęli kroki prawne w celu usunięcia dziesiątek domen używanych do operacji dowodzenia i kontroli oraz obsługi ruchu proxy. Usunięcie to zakłóciło również możliwości rozpoznawania domen przez IPIDEA, znacznie ograniczając jej możliwości zarządzania zainfekowanymi urządzeniami i komercjalizację usług proxy. Wiele kont i domen zostało zawieszonych po zidentyfikowaniu ich jako ułatwiających dystrybucję złośliwego oprogramowania i nielegalny dostęp do sieci proxy IPIDEA.
Dystrybucja złośliwego oprogramowania i ukryta rejestracja serwerów proxy
Dochodzenia wskazują, że IPIDEA rejestrowała urządzenia za pośrednictwem co najmniej 600 zainfekowanych aplikacji na Androida z wbudowanymi pakietami oprogramowania proxy (SDI), a także ponad 3000 zainfekowanych plików binarnych systemu Windows, podszywających się pod narzędzia do synchronizacji OneDrive lub aktualizacje systemu Windows. Ponadto, organizacja z siedzibą w Pekinie reklamowała aplikacje VPN i proxy, które po cichu konwertowały urządzenia użytkowników z Androidem na węzły wyjściowe proxy bez wiedzy i zgody użytkownika. Operatorzy zostali również powiązani z co najmniej kilkunastoma usługami proxy, które podszywały się pod legalne oferty, a ostatecznie zasilały scentralizowaną infrastrukturę kontrolowaną przez IPIDEA.
Kluczowe trendy DDoS zaobserwowane w IV kw. 2025 r.
Sektory docelowe, dotknięte regiony i źródła ataków: Dostawcy usług telekomunikacyjnych i operatorzy byli najczęściej atakowanymi organizacjami, a następnie sektory technologii informatycznych, hazardu, gier i oprogramowania komputerowego. Do najczęściej atakowanych krajów należały Chiny, Hongkong, Niemcy, Brazylia, Stany Zjednoczone, Wielka Brytania, Wietnam, Azerbejdżan, Indie i Singapur. Bangladesz okazał się największym źródłem ruchu DDoS, wyprzedzając Indonezję, a wśród innych znaczących źródeł znalazły się Ekwador, Argentyna, Hongkong, Ukraina, Tajwan, Singapur i Peru.
Implikacje dla strategii obronnych
Ataki DDoS gwałtownie rosną zarówno pod względem wyrafinowania, jak i skali, znacznie przekraczając wcześniej przewidywane limity. Ten ewoluujący krajobraz zagrożeń stanowi poważne wyzwanie dla organizacji starających się dotrzymać kroku tradycyjnym metodom obrony. Przedsiębiorstwa, które nadal polegają głównie na lokalnych urządzeniach do redukcji zagrożeń lub centrach oczyszczania na żądanie, mogą być zmuszone do ponownej oceny swoich strategii ochrony przed atakami DDoS, aby sprostać realiom hiperwolumetrycznych ataków o krótkim czasie trwania.
