АИСУРУ/Кимволф Ботнет
Дистрибуирани ботнет за ускраћивање услуге (DDoS), праћен као AISURU/Kimwolf, повезан је са невиђеним нападом који је достигао врхунац од 31,4 терабита у секунди (Tbps). Упркос екстремном интензитету, напад је био кратак, трајао је само 35 секунди. Инцидент се догодио у новембру 2025. године и сада се сматра највећим DDoS нападом икада примећеним.
Преглед садржаја
Пораст хиперволуметријских HTTP напада
Истраживачи безбедности су идентификовали овај догађај као део ширег пораста хиперволуметријске HTTP DDoS активности коју је покренуо AISURU/Kimwolf током четвртог квартала 2025. године. Ови напади представљају растући тренд ка краткотрајним, али изузетно високопропусним нападима, осмишљеним да преоптерете модерну интернет инфраструктуру пре него што традиционалне одбране могу у потпуности да реагују.
Кампања „Ноћ пре Божића“
AISURU/Kimwolf је такође био повезан са каснијом великом операцијом познатом као „Ноћ пре Божића“, која је почела 19. децембра 2025. Током ове кампање, хиперволуметријски напади су у просеку износили 3 милијарде пакета у секунди (Bpps), 4 Tbps пропусног опсега и 54 милиона захтева у секунди (Mrps). Врхунски нивои су достизали чак 9 Bpps, 24 Tbps и 205 Mrps, што наглашава способност ботнета да генерише континуиране и екстремне количине саобраћаја.
Експлозиван раст DDoS активности у 2025. години
DDoS активност се драматично убрзала током 2025. године, повећавајући се за 121% у односу на претходну годину. У просеку, 5.376 напада је аутоматски ублажено сваког сата. Укупан годишњи обим се више него удвостручио, достигавши приближно 47,1 милион напада. Напади на мрежном слоју чинили су значајан део овог раста, са 34,4 милиона ублажених у 2025. години у поређењу са 11,4 милиона у 2024. години. Само у четвртом кварталу, напади на мрежном слоју представљали су 78% свих DDoS инцидената, што одражава повећање од 31% у односу на претходни квартал и повећање од 58% у поређењу са 2024. годином.
Ескалација у обиму и учесталости
У последњем кварталу 2025. године забележен је пораст хиперволуметријских напада од 40% у поређењу са претходним кварталом, са 1.304 на 1.824 инцидента. Раније током године, у првом кварталу забележено је само 717 таквих напада. Поред саме учесталости, значајно се повећала и величина напада, са повећањем величине за више од 700% у поређењу са нападима великих размера примећеним крајем 2024. године.
Ширење ботнета путем угрожених уређаја
Процењује се да AISURU/Kimwolf контролише ботнет од преко два милиона Андроид уређаја. Већина су компромитовани, небрендирани Андроид телевизори који су тајно регистровани и усмерени кроз стамбене прокси мреже као што је IPIDEA. Ови прокси сервиси су искоришћени за прикривање порекла напада и појачавање саобраћаја.
Поремећај прокси инфраструктуре и правни поступак
Као одговор на ове активности, стручњаци су недавно пореметили рад IPIDEA мреже за стамбене прокси сервере и покренули правне мере за демонтажу десетина домена који се користе за операције командовања и контроле и проксирање саобраћаја. Уклањање је такође ометало IPIDEA-ине могућности решавања домена, значајно деградирајући њену способност да управља зараженим уређајима и комерцијализује своје прокси услуге. Бројни налози и домени су суспендовани након што је идентификовано да олакшавају дистрибуцију злонамерног софтвера и илегални приступ стамбеним прокси мрежама.
Дистрибуција злонамерног софтвера и регистрација прикривеног проксија
Истраге указују да је IPIDEA регистровала уређаје путем најмање 600 тројанских Андроид апликација које уграђују комплете за развој прокси софтвера, као и више од 3.000 тројанских Windows бинарних датотека прикривених као алати за синхронизацију OneDrive-а или Windows ажурирања. Поред тога, операција са седиштем у Пекингу рекламирала је VPN и прокси апликације које су неприметно претварале корисничке Андроид уређаје у прокси излазне чворове без знања или сагласности корисника. Оператори су такође повезани са најмање десетак резиденцијалних прокси сервиса који су се представљали као легитимне понуде, док су на крају снабдевали централизовану инфраструктуру коју контролише IPIDEA.
Кључни DDoS трендови примећени у четвртом кварталу 2025. године
Циљани сектори, погођени региони и порекло напада: Телекомуникациони провајдери и оператери били су најчешће циљане организације, а затим сектори информационих технологија, коцкања, игара и рачунарског софтвера. Међу најнападанијим земљама биле су Кина, Хонг Конг, Немачка, Бразил, Сједињене Америчке Државе, Уједињено Краљевство, Вијетнам, Азербејџан, Индија и Сингапур. Бангладеш се појавио као највећи извор DDoS саобраћаја, надмашивши Индонезију, а међу другим истакнутим изворима били су Еквадор, Аргентина, Хонг Конг, Украјина, Тајван, Сингапур и Перу.
Импликације за одбрамбене стратегије
DDoS напади брзо расту и по софистицираности и по обиму, далеко превазилазећи раније очекивана ограничења. Овај еволуирајући пејзаж претњи представља озбиљне изазове за организације које покушавају да одрже корак користећи традиционалну одбрану. Предузећа која се и даље првенствено ослањају на локалне уређаје за ублажавање или центре за чишћење на захтев можда ће морати да преиспитају своје стратегије DDoS заштите како би се суочила са реалношћу хиперволуметријских, краткотрајних напада.
