AISURU/Kimwolf Botnet
Porazdeljeno omrežje za zavrnitev storitve (DDoS), ki je bilo znano kot AISURU/Kimwolf, je bilo povezano z napadom brez primere, ki je dosegel vrhunec pri 31,4 terabita na sekundo (Tbps). Kljub izjemni intenzivnosti je bil napad kratek, saj je trajal le 35 sekund. Incident se je zgodil novembra 2025 in je zdaj največji DDoS napad doslej.
Kazalo
Vzpon hipervolumetričnih napadov HTTP
Varnostni raziskovalci so ta dogodek prepoznali kot del širšega porasta hipervolumetrične aktivnosti HTTP DDoS, ki jo je v četrtem četrtletju leta 2025 povzročil AISURU/Kimwolf. Ti napadi predstavljajo naraščajoč trend kratkotrajnih, a izjemno visokozmogljivih napadov, namenjenih preobremenitvi sodobne internetne infrastrukture, preden se lahko tradicionalne obrambe v celoti odzovejo.
Kampanja 'Noč pred božičem'
AISURU/Kimwolf je bil povezan tudi s poznejšo obsežno operacijo, znano kot Noč pred božičem, ki se je začela 19. decembra 2025. Med to kampanjo so hipervolumetrični napadi v povprečju dosegli 3 milijarde paketov na sekundo (Bpps), 4 Tbps pasovne širine in 54 milijonov zahtev na sekundo (Mrps). Najvišje ravni so dosegle kar 9 Bpps, 24 Tbps in 205 Mrps, kar poudarja sposobnost botneta za ustvarjanje trajnih in ekstremnih količin prometa.
Eksplozivna rast aktivnosti DDoS v letu 2025
Aktivnost DDoS se je v letu 2025 dramatično povečala, in sicer za 121 % v primerjavi z lanskim letom. V povprečju je bilo vsako uro samodejno ublaženih 5376 napadov. Skupni letni obseg se je več kot podvojil in dosegel približno 47,1 milijona napadov. Napadi na omrežni ravni so predstavljali znaten del te rasti, saj jih je bilo leta 2025 ublaženih 34,4 milijona v primerjavi z 11,4 milijona leta 2024. Samo v četrtem četrtletju so napadi na omrežni ravni predstavljali 78 % vseh incidentov DDoS, kar odraža 31-odstotno povečanje v primerjavi s prejšnjim četrtletjem in 58-odstotno povečanje v primerjavi z letom 2024.
Eskalacija v obsegu in pogostosti
V zadnjem četrtletju leta 2025 se je število hipervolumetričnih napadov v primerjavi s prejšnjim četrtletjem povečalo za 40 %, in sicer s 1304 na 1824 incidentov. V začetku leta je bilo v prvem četrtletju zabeleženih le 717 takšnih napadov. Poleg same pogostosti se je znatno povečal tudi obseg napadov, saj se je njihov obseg povečal za več kot 700 % v primerjavi z obsežnimi napadi, ki so jih opazili konec leta 2024.
Širjenje botneta prek ogroženih naprav
Ocenjuje se, da AISURU/Kimwolf nadzoruje botnet z več kot dvema milijonoma naprav Android. Večina je ogroženih televizorjev Android drugih blagovnih znamk, ki so bili prikrito registrirani in usmerjeni prek stanovanjskih posredniških omrežij, kot je IPIDEA. Te posredniške storitve so bile izkoriščene za prikrivanje izvora napadov in povečanje prometa.
Motnje posredniške infrastrukture in pravni ukrepi
Strokovnjaki so se v odgovor na te dejavnosti pred kratkim odzvali na delovanje stanovanjskega posredniškega omrežja IPIDEA in sprožili pravne ukrepe za odstranitev več deset domen, ki se uporabljajo za operacije vodenja in nadzora ter posredovanje prometa. Odstranitev je prav tako posegla v zmogljivosti IPIDEA za reševanje domen, kar je znatno poslabšalo njeno sposobnost upravljanja okuženih naprav in komercializacije storitev posredništva. Številni računi in domene so bili začasno ukinjeni, potem ko so bili ugotovljeni, da omogočajo distribucijo zlonamerne programske opreme in nezakonit dostop do stanovanjskih posredniških omrežij.
Distribucija zlonamerne programske opreme in prikrita registracija proxyja
Preiskave kažejo, da je IPIDEA registrirala naprave prek vsaj 600 trojanskih aplikacij za Android, ki so vgrajevale komplete za razvoj programske opreme za proxy, ter več kot 3000 trojanskih binarnih datotek za Windows, prikritih kot orodja za sinhronizacijo OneDrive ali posodobitve sistema Windows. Poleg tega je operacija s sedežem v Pekingu oglaševala aplikacije VPN in proxy, ki so tiho pretvarjale uporabniške naprave Android v izhodna vozlišča proxy brez vednosti ali soglasja uporabnikov. Operaterji so bili povezani tudi z vsaj ducatom stanovanjskih proxy storitev, ki so se predstavljale kot legitimne ponudbe, hkrati pa so napajale centralizirano infrastrukturo, ki jo nadzoruje IPIDEA.
Ključni trendi DDoS-a, opaženi v četrtem četrtletju 2025
Ciljni sektorji, prizadete regije in izvor napadov: Ponudniki telekomunikacijskih storitev in operaterji so bili najbolj tarča napadov, sledili pa so jim sektorji informacijske tehnologije, iger na srečo, iger na srečo in računalniške programske opreme. Med najbolj napadenimi državami so bile Kitajska, Hongkong, Nemčija, Brazilija, Združene države Amerike, Združeno kraljestvo, Vietnam, Azerbajdžan, Indija in Singapur. Bangladeš je postal največji vir prometa DDoS, prehitel je Indonezijo, med drugimi pomembnimi viri pa so bili Ekvador, Argentina, Hongkong, Ukrajina, Tajvan, Singapur in Peru.
Posledice za obrambne strategije
Napadi DDoS hitro naraščajo tako po sofisticiranosti kot po obsegu ter daleč presegajo prej pričakovane meje. Ta razvijajoča se krajina groženj predstavlja resne izzive za organizacije, ki poskušajo slediti tradicionalnim obrambnim ukrepom. Podjetja, ki se še naprej zanašajo predvsem na lokalne naprave za ublažitev napadov ali centre za čiščenje na zahtevo, bodo morda morala ponovno oceniti svoje strategije zaščite pred DDoS, da bi se spopadla z realnostjo hipervolumetričnih, kratkotrajnih napadov.
