Botnet AISURU/Kimwolf
Distribuovaný botnet typu denial-of-service (DDoS) sledovaný ako AISURU/Kimwolf bol spojený s bezprecedentným útokom, ktorý dosiahol maximum 31,4 terabitov za sekundu (Tbps). Napriek svojej extrémnej intenzite bol útok krátky, trval iba 35 sekúnd. K incidentu došlo v novembri 2025 a v súčasnosti je najväčším DDoS útokom, aký bol kedy pozorovaný.
Obsah
Nárast hypervolumetrických HTTP útokov
Bezpečnostní výskumníci identifikovali túto udalosť ako súčasť širšieho nárastu hypervolumetrickej aktivity HTTP DDoS, ktorú v štvrtom štvrťroku 2025 spôsobili útoky AISURU/Kimwolf. Tieto útoky predstavujú rastúci trend smerom ku krátkodobým, ale mimoriadne vysokovýkonným útokom, ktorých cieľom je preťažiť modernú internetovú infraštruktúru skôr, ako tradičné obranné mechanizmy stihnú plne zareagovať.
Kampaň „Noc pred Vianocami“
Spoločnosť AISURU/Kimwolf bola tiež zapojená do následnej rozsiahlej operácie známej ako Noc pred Vianocami, ktorá sa začala 19. decembra 2025. Počas tejto kampane dosiahli hypervolumetrické útoky v priemere 3 miliardy paketov za sekundu (Bpps), 4 Tbps šírky pásma a 54 miliónov požiadaviek za sekundu (Mrps). Vrcholové úrovne dosiahli až 9 Bpps, 24 Tbps a 205 Mrps, čo zdôrazňuje schopnosť botnetu generovať trvalé a extrémne objemy prevádzky.
Explozívny nárast DDoS aktivity v roku 2025
Aktivita DDoS sa v priebehu roka 2025 dramaticky zrýchlila a medziročne vzrástla o 121 %. V priemere bolo každú hodinu automaticky zmiernených 5 376 útokov. Celkový ročný objem sa viac ako zdvojnásobil a dosiahol približne 47,1 milióna útokov. Útoky na sieťovej vrstve predstavovali podstatnú časť tohto rastu, pričom v roku 2025 bolo zmiernených 34,4 milióna v porovnaní s 11,4 miliónmi v roku 2024. Len v štvrtom štvrťroku predstavovali útoky na sieťovej vrstve 78 % všetkých incidentov DDoS, čo predstavuje 31 % nárast oproti predchádzajúcemu štvrťroku a 58 % nárast oproti roku 2024.
Eskalácia rozsahu a frekvencie
V poslednom štvrťroku 2025 došlo k 40 % nárastu hypervolumetrických útokov v porovnaní s predchádzajúcim štvrťrokom, z 1 304 na 1 824 incidentov. Začiatkom roka bolo v prvom štvrťroku zaznamenaných iba 717 takýchto útokov. Okrem samotnej frekvencie sa výrazne zvýšil aj rozsah útokov, pričom ich veľkosť vzrástla o viac ako 700 % v porovnaní s rozsiahlymi útokmi pozorovanými koncom roka 2024.
Rozšírenie botnetu prostredníctvom napadnutých zariadení
Odhaduje sa, že AISURU/Kimwolf ovláda botnet s viac ako dvoma miliónmi zariadení so systémom Android. Väčšinu z nich tvoria napadnuté televízory so systémom Android iných značiek, ktoré boli tajne zaregistrované a smerované cez rezidenčné proxy siete, ako je IPIDEA. Tieto proxy služby sa zneužívajú na zakrytie pôvodu útokov a zosilnenie prevádzky.
Narušenie proxy infraštruktúry a právne kroky
V reakcii na tieto aktivity experti nedávno narušili sieť rezidenčných proxy serverov IPIDEA a iniciovali právne opatrenia na odstránenie desiatok domén používaných na operácie velenia a riadenia a proxying prevádzky. Toto odstránenie tiež narušilo možnosti IPIDEA na riešenie domén, čím výrazne znížilo jej schopnosť spravovať infikované zariadenia a komercializovať svoje proxy služby. Mnohé účty a domény boli pozastavené po tom, čo boli identifikované ako účty, ktoré uľahčujú distribúciu malvéru a nezákonný prístup k sieťam rezidenčných proxy serverov.
Distribúcia škodlivého softvéru a skrytá registrácia proxy
Vyšetrovania naznačujú, že IPIDEA zaregistrovala zariadenia prostredníctvom najmenej 600 trójskych koní, ktoré obsahovali vývojové súpravy proxy softvéru, ako aj viac ako 3 000 trójskych koní, ktoré boli napadnuté binárnymi súbormi systému Windows maskovanými ako synchronizačné nástroje OneDrive alebo aktualizácie systému Windows. Okrem toho operácia so sídlom v Pekingu propagovala VPN a proxy aplikácie, ktoré ticho prevádzali zariadenia používateľov so systémom Android na výstupné uzly proxy bez vedomia alebo súhlasu používateľa. Prevádzkovatelia boli tiež prepojení s najmenej tuctom rezidenčných proxy služieb, ktoré sa prezentovali ako legitímne ponuky, pričom v konečnom dôsledku slúžili ako súčasť centralizovanej infraštruktúry kontrolovanej IPIDEA.
Kľúčové trendy DDoS pozorované v 4. štvrťroku 2025
Cieľové sektory, postihnuté regióny a pôvod útokov: Najčastejšie cielenými organizáciami boli poskytovatelia a operátori telekomunikačných služieb, nasledovali sektory informačných technológií, hazardných hier, hier a počítačového softvéru. Medzi najviac napadnuté krajiny patrili Čína, Hongkong, Nemecko, Brazília, Spojené štáty, Spojené kráľovstvo, Vietnam, Azerbajdžan, India a Singapur. Bangladéš sa stal najväčším zdrojom DDoS prevádzky, predbehol Indonéziu, a medzi ďalšie významné zdroje patrili Ekvádor, Argentína, Hongkong, Ukrajina, Taiwan, Singapur a Peru.
Dôsledky pre obranné stratégie
DDoS útoky rýchlo rastú, čo sa týka sofistikovanosti aj rozsahu, a ďaleko prekračujú predtým očakávané limity. Táto vyvíjajúca sa oblasť hrozieb predstavuje vážne výzvy pre organizácie, ktoré sa snažia držať krok s tradičnou obranou. Podniky, ktoré sa naďalej spoliehajú predovšetkým na lokálne zariadenia na zmierňovanie rizík alebo centrá na čistenie na požiadanie, môžu musieť prehodnotiť svoje stratégie ochrany pred DDoS útokmi, aby riešili realitu hyperobjemových, krátkodobých útokov.
