AISURU/Kimwolf Botnet
Det distribuerade denial-of-service (DDoS) botnätet som spåras som AISURU/Kimwolf har kopplats till en exempellös attack som nådde en topp på 31,4 terabit per sekund (Tbps). Trots sin extrema intensitet var attacken kort och varade bara i 35 sekunder. Händelsen inträffade i november 2025 och är nu den största DDoS-attacken som någonsin observerats.
Innehållsförteckning
Ökning av hypervolumetriska HTTP-attacker
Säkerhetsforskare har identifierat denna händelse som en del av en bredare ökning av hypervolymetrisk HTTP DDoS-aktivitet driven av AISURU/Kimwolf under fjärde kvartalet 2025. Dessa attacker representerar en växande trend mot kortvariga men extremt högkapacitetsattacker utformade för att överbelasta modern internetinfrastruktur innan traditionella försvar kan reagera fullt ut.
Kampanjen “Natten före jul”
AISURU/Kimwolf har också kopplats till en efterföljande storskalig operation känd som The Night Before Christmas, som började den 19 december 2025. Under denna kampanj uppgick hypervolymetriska attacker till i genomsnitt 3 miljarder paket per sekund (Bpps), 4 Tbps bandbredd och 54 miljoner förfrågningar per sekund (Mrps). Toppnivåerna nådde så höga som 9 Bpps, 24 Tbps och 205 Mrps, vilket understryker botnätets förmåga att generera ihållande och extrema trafikvolymer.
Explosiv tillväxt av DDoS-aktivitet år 2025
DDoS-aktiviteten accelererade dramatiskt under 2025 och ökade med 121 % jämfört med föregående år. I genomsnitt mildrades 5 376 attacker automatiskt varje timme. Den totala årliga volymen mer än fördubblades och nådde cirka 47,1 miljoner attacker. Nätverksattacker stod för en betydande del av denna tillväxt, med 34,4 miljoner mildrade attacker under 2025 jämfört med 11,4 miljoner under 2024. Enbart under fjärde kvartalet representerade nätverksattacker 78 % av alla DDoS-incidenter, vilket återspeglar en ökning med 31 % jämfört med föregående kvartal och en ökning med 58 % jämfört med 2024.
Eskalering i skala och frekvens
Under det sista kvartalet 2025 ökade antalet hypervolymattacker med 40 % jämfört med föregående kvartal, från 1 304 till 1 824 incidenter. Tidigare under året registrerades endast 717 sådana attacker under första kvartalet. Utöver den rena frekvensen ökade även attackernas omfattning avsevärt, med en omfattning som ökade med mer än 700 % jämfört med storskaliga attacker som observerades i slutet av 2024.
Botnätsexpansion genom komprometterade enheter
AISURU/Kimwolf bedöms kontrollera ett botnät med mer än två miljoner Android-enheter. Majoriteten är komprometterade Android-tv-apparater av andra varumärken än varumärken som i hemlighet har registrerats och dirigerats via proxynätverk för bostäder, till exempel IPIDEA. Dessa proxytjänster har utnyttjats för att dölja attackernas ursprung och förstärka trafiken.
Störningar i proxyinfrastruktur och rättsliga åtgärder
Som svar på dessa aktiviteter störde experter nyligen IPIDEAs proxynätverk för bostäder och inledde rättsliga åtgärder för att avveckla dussintals domäner som används för kommando- och kontrolloperationer och trafikproxytjänster. Nedmonteringen störde också IPIDEAs kapacitet för domänlösning, vilket avsevärt försämrade dess förmåga att hantera infekterade enheter och kommersialisera sina proxytjänster. Många konton och domäner stängdes av efter att ha identifierats som att de underlättar distribution av skadlig kod och olaglig åtkomst till proxynätverk för bostäder.
Distribution av skadlig kod och registrering av dolda proxyserverar
Undersökningar tyder på att IPIDEA registrerade enheter genom minst 600 trojaniserade Android-applikationer med inbäddade proxy-programvaruutvecklingskit, samt mer än 3 000 trojaniserade Windows-binärfiler förklädda som OneDrive-synkroniseringsverktyg eller Windows-uppdateringar. Dessutom annonserade den Peking-baserade verksamheten VPN- och proxyapplikationer som i tysthet konverterade användarnas Android-enheter till proxy-utgångsnoder utan användarens medvetenhet eller samtycke. Operatörer har också kopplats till minst ett dussin proxytjänster för bostäder som presenterade sig som legitima erbjudanden samtidigt som de i slutändan matade in en centraliserad IPIDEA-kontrollerad infrastruktur.
Viktiga DDoS-trender observerade under fjärde kvartalet 2025
Målsektorer, drabbade regioner och attackursprung: Telekommunikationsleverantörer och operatörer var de mest attackerade organisationerna, följt av sektorerna informationsteknik, spel, spel och programvara. De mest attackerade länderna inkluderade Kina, Hongkong, Tyskland, Brasilien, USA, Storbritannien, Vietnam, Azerbajdzjan, Indien och Singapore. Bangladesh framstod som den största källan till DDoS-trafik och omslog Indonesien, med andra framträdande källor inklusive Ecuador, Argentina, Hongkong, Ukraina, Taiwan, Singapore och Peru.
Implikationer för defensiva strategier
DDoS-attacker ökar snabbt i både sofistikering och skala och överstiger vida tidigare förväntade gränser. Detta föränderliga hotlandskap innebär allvarliga utmaningar för organisationer som försöker hålla jämna steg med traditionella försvar. Företag som fortsätter att främst förlita sig på lokala skyddsåtgärder eller on-demand-skrubcenter kan behöva ompröva sina DDoS-skyddsstrategier för att hantera realiteten av hypervolymetriska, kortvariga attacker.
