AISURU/Kimwolf Botnet

บอทเน็ตโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ที่ติดตามได้ในชื่อ AISURU/Kimwolf ถูกเชื่อมโยงกับการโจมตีที่ไม่เคยเกิดขึ้นมาก่อน ซึ่งมีกำลังสูงสุดถึง 31.4 เทราบิตต่อวินาที (Tbps) แม้จะมีความรุนแรงอย่างมาก แต่การโจมตีนั้นก็เกิดขึ้นในช่วงเวลาสั้น ๆ เพียง 35 วินาที เหตุการณ์นี้เกิดขึ้นในเดือนพฤศจิกายน 2025 และปัจจุบันถือเป็นการโจมตี DDoS ครั้งใหญ่ที่สุดเท่าที่เคยพบเห็นมา

การเพิ่มขึ้นของการโจมตี HTTP ปริมาณมหาศาล

นักวิจัยด้านความปลอดภัยระบุว่าเหตุการณ์นี้เป็นส่วนหนึ่งของการโจมตี DDoS ผ่าน HTTP ที่มีปริมาณมหาศาลเพิ่มขึ้นอย่างรวดเร็ว ซึ่งดำเนินการโดย AISURU/Kimwolf ในช่วงไตรมาสที่สี่ของปี 2025 การโจมตีเหล่านี้แสดงให้เห็นถึงแนวโน้มที่เพิ่มขึ้นของการโจมตีที่มีระยะเวลาสั้น แต่มีปริมาณข้อมูลสูงมากเป็นพิเศษ โดยมีเป้าหมายเพื่อทำลายโครงสร้างพื้นฐานอินเทอร์เน็ตสมัยใหม่ก่อนที่ระบบป้องกันแบบดั้งเดิมจะสามารถตอบสนองได้อย่างเต็มที่

แคมเปญ 'คืนก่อนวันคริสต์มาส'

AISURU/Kimwolf ยังเชื่อมโยงกับการปฏิบัติการขนาดใหญ่ครั้งต่อมาที่รู้จักกันในชื่อ The Night Before Christmas ซึ่งเริ่มต้นในวันที่ 19 ธันวาคม 2025 ในระหว่างการโจมตีครั้งนี้ การโจมตีที่มีปริมาณมหาศาลเฉลี่ยอยู่ที่ 3 พันล้านแพ็กเก็ตต่อวินาที (Bpps) แบนด์วิดท์ 4 Tbps และคำขอ 54 ล้านคำขอต่อวินาที (Mrps) ระดับสูงสุดแตะระดับสูงถึง 9 Bpps 24 Tbps และ 205 Mrps ซึ่งเน้นย้ำถึงความสามารถของบอทเน็ตในการสร้างปริมาณการรับส่งข้อมูลที่ต่อเนื่องและรุนแรง

การโจมตีแบบ DDoS จะเติบโตอย่างรวดเร็วในปี 2025

กิจกรรมการโจมตีแบบ DDoS เพิ่มขึ้นอย่างรวดเร็วตลอดปี 2025 โดยเพิ่มขึ้น 121% เมื่อเทียบกับปีก่อนหน้า โดยเฉลี่ยแล้วมีการป้องกันการโจมตีโดยอัตโนมัติ 5,376 ครั้งต่อชั่วโมง ปริมาณการโจมตีทั้งหมดต่อปีเพิ่มขึ้นมากกว่าสองเท่า โดยแตะระดับประมาณ 47.1 ล้านครั้ง การโจมตีในระดับเครือข่ายคิดเป็นสัดส่วนที่สำคัญของการเติบโตนี้ โดยมีการป้องกัน 34.4 ล้านครั้งในปี 2025 เทียบกับ 11.4 ล้านครั้งในปี 2024 เฉพาะในไตรมาสที่สี่ การโจมตีในระดับเครือข่ายคิดเป็น 78% ของเหตุการณ์ DDoS ทั้งหมด ซึ่งสะท้อนให้เห็นถึงการเพิ่มขึ้น 31% เมื่อเทียบกับไตรมาสก่อนหน้า และเพิ่มขึ้น 58% เมื่อเทียบกับปี 2024

การเพิ่มระดับและความถี่

ในไตรมาสสุดท้ายของปี 2025 พบว่าการโจมตีที่มีปริมาณมหาศาลเพิ่มขึ้นถึง 40% เมื่อเทียบกับไตรมาสก่อนหน้า โดยเพิ่มขึ้นจาก 1,304 ครั้ง เป็น 1,824 ครั้ง ในขณะที่ไตรมาสแรกของปีมีการบันทึกการโจมตีลักษณะนี้เพียง 717 ครั้งเท่านั้น นอกจากความถี่ที่เพิ่มขึ้นแล้ว ขนาดของการโจมตีก็ขยายตัวอย่างมีนัยสำคัญเช่นกัน โดยมีขนาดใหญ่ขึ้นกว่า 700% เมื่อเทียบกับการโจมตีขนาดใหญ่ที่พบในช่วงปลายปี 2024

การขยายเครือข่ายบอทเน็ตผ่านอุปกรณ์ที่ถูกบุกรุก

มีการประเมินว่า AISURU/Kimwolf ควบคุมบอทเน็ตที่มีอุปกรณ์ Android มากกว่าสองล้านเครื่อง อุปกรณ์ส่วนใหญ่เป็นโทรทัศน์ Android ยี่ห้ออื่นที่ถูกเจาะระบบและลงทะเบียนอย่างลับๆ โดยเชื่อมต่อผ่านเครือข่ายพร็อกซีในบ้าน เช่น IPIDEA บริการพร็อกซีเหล่านี้ถูกใช้เพื่อปกปิดแหล่งที่มาของการโจมตีและขยายปริมาณการรับส่งข้อมูล

การหยุดชะงักของโครงสร้างพื้นฐานพร็อกซีและการดำเนินการทางกฎหมาย

เพื่อตอบโต้กิจกรรมเหล่านี้ ผู้เชี่ยวชาญได้ทำการปิดกั้นเครือข่ายพร็อกซีที่อยู่อาศัยของ IPIDEA และเริ่มดำเนินการทางกฎหมายเพื่อยุบโดเมนหลายสิบโดเมนที่ใช้สำหรับการปฏิบัติการควบคุมและสั่งการ รวมถึงการส่งต่อข้อมูลผ่านพร็อกซี การปิดกั้นดังกล่าวยังส่งผลกระทบต่อความสามารถในการแก้ไขโดเมนของ IPIDEA ทำให้ความสามารถในการจัดการอุปกรณ์ที่ติดไวรัสและการให้บริการพร็อกซีเชิงพาณิชย์ลดลงอย่างมาก บัญชีและโดเมนจำนวนมากถูกระงับหลังจากพบว่าอำนวยความสะดวกในการเผยแพร่มัลแวร์และการเข้าถึงเครือข่ายพร็อกซีที่อยู่อาศัยอย่างผิดกฎหมาย

การแพร่กระจายมัลแวร์และการลงทะเบียนพร็อกซีแบบลับๆ

จากการตรวจสอบพบว่า IPIDEA ได้ลงทะเบียนอุปกรณ์ผ่านแอปพลิเคชัน Android ที่ติดมัลแวร์อย่างน้อย 600 แอปพลิเคชัน ซึ่งฝังชุดพัฒนาซอฟต์แวร์พร็อกซี รวมถึงไฟล์ไบนารี Windows ที่ติดมัลแวร์มากกว่า 3,000 ไฟล์ ซึ่งปลอมตัวเป็นเครื่องมือซิงโครไนซ์ OneDrive หรือการอัปเดต Windows นอกจากนี้ กลุ่มปฏิบัติการในปักกิ่งยังโฆษณาแอปพลิเคชัน VPN และพร็อกซีที่เปลี่ยนอุปกรณ์ Android ของผู้ใช้ให้เป็นโหนดทางออกพร็อกซีโดยที่ผู้ใช้ไม่รู้ตัวหรือยินยอม ผู้ดำเนินการยังเชื่อมโยงกับบริการพร็อกซีที่อยู่อาศัยอย่างน้อยหนึ่งโหล ซึ่งแสดงตนว่าเป็นบริการที่ถูกต้องตามกฎหมาย แต่ท้ายที่สุดแล้วเชื่อมต่อเข้ากับโครงสร้างพื้นฐานส่วนกลางที่ควบคุมโดย IPIDEA

แนวโน้มการโจมตี DDoS ที่สำคัญที่คาดการณ์ได้ในไตรมาสที่ 4 ปี 2025

ภาคส่วนที่ตกเป็นเป้าหมาย ภูมิภาคที่ได้รับผลกระทบ และแหล่งที่มาของการโจมตี: ผู้ให้บริการโทรคมนาคมและผู้ให้บริการเครือข่ายเป็นองค์กรที่ตกเป็นเป้าหมายมากที่สุด รองลงมาคือเทคโนโลยีสารสนเทศ การพนัน เกม และซอฟต์แวร์คอมพิวเตอร์ ประเทศที่ถูกโจมตีมากที่สุด ได้แก่ จีน ฮ่องกง เยอรมนี บราซิล สหรัฐอเมริกา สหราชอาณาจักร เวียดนาม อาเซอร์ไบจาน อินเดีย และสิงคโปร์ บังกลาเทศกลายเป็นแหล่งที่มาของการโจมตี DDoS ที่ใหญ่ที่สุด แซงหน้าอินโดนีเซีย โดยแหล่งที่มาสำคัญอื่นๆ ได้แก่ เอกวาดอร์ อาร์เจนตินา ฮ่องกง ยูเครน ไต้หวัน สิงคโปร์ และเปรู

นัยสำคัญสำหรับกลยุทธ์การป้องกัน

การโจมตีแบบ DDoS กำลังเพิ่มขึ้นอย่างรวดเร็วทั้งในด้านความซับซ้อนและขนาด ซึ่งเกินขีดจำกัดที่คาดการณ์ไว้ก่อนหน้านี้อย่างมาก ภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไปนี้ก่อให้เกิดความท้าทายอย่างร้ายแรงสำหรับองค์กรที่พยายามรับมือโดยใช้การป้องกันแบบดั้งเดิม องค์กรที่ยังคงพึ่งพาอุปกรณ์บรรเทาผลกระทบในสถานที่หรือศูนย์กำจัดภัยคุกคามตามความต้องการเป็นหลัก อาจจำเป็นต้องประเมินกลยุทธ์การป้องกัน DDoS ของตนใหม่เพื่อรับมือกับความเป็นจริงของการโจมตีที่มีปริมาณมากและระยะเวลาสั้น