AISURU/Kimwolf Botnet
Botnetul de tip denial-of-service (DDoS) identificat ca AISURU/Kimwolf a fost asociat cu un atac fără precedent care a atins un vârf de 31,4 terabiți pe secundă (Tbps). În ciuda intensității sale extreme, atacul a fost scurt, durând doar 35 de secunde. Incidentul a avut loc în noiembrie 2025 și este acum cel mai mare atac DDoS observat vreodată.
Cuprins
Creșterea atacurilor HTTP hipervolumetrice
Cercetătorii în domeniul securității au identificat acest eveniment ca parte a unei creșteri mai ample a activității DDoS HTTP hipervolumetrice, determinată de AISURU/Kimwolf în al patrulea trimestru al anului 2025. Aceste atacuri reprezintă o tendință crescândă către atacuri de scurtă durată, dar cu randament extraordinar de mare, concepute pentru a copleși infrastructura modernă de internet înainte ca sistemele tradiționale de apărare să poată reacționa pe deplin.
Campania „Noaptea dinaintea Crăciunului”
AISURU/Kimwolf a fost conectat și la o operațiune ulterioară la scară largă, cunoscută sub numele de „Noaptea dinaintea Crăciunului”, care a început pe 19 decembrie 2025. În timpul acestei campanii, atacurile hipervolumetrice au avut o medie de 3 miliarde de pachete pe secundă (Bpps), 4 Tbps de lățime de bandă și 54 de milioane de solicitări pe secundă (Mrps). Nivelurile maxime au atins 9 Bpps, 24 Tbps și 205 Mrps, subliniind capacitatea botnet-ului de a genera volume de trafic susținute și extreme.
Creștere explozivă a activității DDoS în 2025
Activitatea DDoS s-a accelerat dramatic pe parcursul anului 2025, crescând cu 121% față de anul precedent. În medie, 5.376 de atacuri au fost atenuate automat în fiecare oră. Volumul total anual s-a mai mult decât dublat, ajungând la aproximativ 47,1 milioane de atacuri. Atacurile la nivelul de rețea au reprezentat o parte substanțială a acestei creșteri, cu 34,4 milioane atenuate în 2025, comparativ cu 11,4 milioane în 2024. Numai în trimestrul al patrulea, atacurile la nivelul de rețea au reprezentat 78% din totalul incidentelor DDoS, reflectând o creștere de 31% față de trimestrul precedent și o creștere de 58% față de 2024.
Escaladarea scalei și frecvenței
În ultimul trimestru al anului 2025 s-a înregistrat o creștere de 40% a atacurilor hipervolumetrice comparativ cu trimestrul precedent, de la 1.304 la 1.824 de incidente. La începutul anului, în primul trimestru au fost înregistrate doar 717 astfel de atacuri. Dincolo de frecvența pură, magnitudinea atacurilor a crescut semnificativ, dimensiunile crescând cu peste 700% în comparație cu atacurile la scară largă observate la sfârșitul anului 2024.
Extinderea botnet-urilor prin dispozitive compromise
Se evaluează că AISURU/Kimwolf controlează o rețea de boturi de peste două milioane de dispozitive Android. Majoritatea sunt televizoare Android compromise, de marcă diferită, care au fost înscrise în mod secret și direcționate prin rețele proxy rezidențiale precum IPIDEA. Aceste servicii proxy au fost utilizate pentru a ascunde originile atacurilor și a amplifica traficul.
Întreruperea infrastructurii proxy și acțiuni în justiție
Ca răspuns la aceste activități, experții au perturbat recent rețeaua proxy rezidențială IPIDEA și au inițiat măsuri legale pentru a dezmembra zeci de domenii utilizate pentru operațiuni de comandă și control și proxy-ul traficului. Eliminarea a interferat, de asemenea, cu capacitățile de rezolvare a domeniilor IPIDEA, degradând semnificativ capacitatea sa de a gestiona dispozitivele infectate și de a comercializa serviciile sale proxy. Numeroase conturi și domenii au fost suspendate după ce au fost identificate ca facilitând distribuirea de programe malware și accesul ilicit la rețele proxy rezidențiale.
Distribuirea programelor malware și înscrierea în proxy-uri sub acoperire
Investigațiile indică faptul că IPIDEA a înscris dispozitive prin intermediul a cel puțin 600 de aplicații Android troienite care încorporează kituri de dezvoltare software proxy, precum și peste 3.000 de fișiere binare Windows troienite, deghizate în instrumente de sincronizare OneDrive sau actualizări Windows. În plus, operațiunea cu sediul la Beijing a promovat aplicații VPN și proxy care au convertit în mod silențios dispozitivele Android ale utilizatorilor în noduri de ieșire proxy, fără știrea sau consimțământul utilizatorului. Operatorii au fost, de asemenea, asociați cu cel puțin o duzină de servicii proxy rezidențiale care se prezentau ca oferte legitime, în timp ce, în cele din urmă, alimentau o infrastructură centralizată controlată de IPIDEA.
Principalele tendințe DDoS observate în trimestrul 4 al anului 2025
Sectoare vizate, regiuni afectate și origini ale atacurilor: Furnizorii și operatorii de telecomunicații au fost cele mai vizate organizații, urmați de sectoarele tehnologiei informației, jocurilor de noroc, jocurilor de noroc și software-ului. Printre țările cele mai atacate s-au numărat China, Hong Kong, Germania, Brazilia, Statele Unite, Regatul Unit, Vietnam, Azerbaidjan, India și Singapore. Bangladesh a apărut ca cea mai mare sursă de trafic DDoS, depășind Indonezia, cu alte surse importante inclusiv Ecuador, Argentina, Hong Kong, Ucraina, Taiwan, Singapore și Peru.
Implicații pentru strategiile defensive
Atacurile DDoS cresc rapid atât în sofisticare, cât și în amploare, depășind cu mult limitele anticipate anterior. Acest peisaj al amenințărilor în continuă evoluție prezintă provocări serioase pentru organizațiile care încearcă să țină pasul folosind apărarea tradițională. Întreprinderile care continuă să se bazeze în principal pe dispozitive de atenuare locale sau pe centre de curățare la cerere ar putea fi nevoite să își reevalueze strategiile de protecție DDoS pentru a aborda realitățile atacurilor hipervolumetrice, de scurtă durată.
