AISURU/Kimwolf Botnet
Ang distributed denial-of-service (DDoS) botnet na sinusubaybayan bilang AISURU/Kimwolf ay naiugnay sa isang walang kapantay na pag-atake na umabot sa pinakamataas na bilis sa 31.4 terabits kada segundo (Tbps). Sa kabila ng matinding tindi nito, ang pag-atake ay maikli lamang, na tumagal lamang ng 35 segundo. Ang insidente ay naganap noong Nobyembre 2025 at ngayon ay itinuturing na pinakamalaking pag-atake ng DDoS na naobserbahan.
Talaan ng mga Nilalaman
Pagtaas ng mga Hyper-Volumetric HTTP Attack
Natukoy ng mga mananaliksik sa seguridad ang pangyayaring ito bilang bahagi ng mas malawak na pagdami ng hyper-volumetric na aktibidad ng HTTP DDoS na dulot ng AISURU/Kimwolf noong ikaapat na quarter ng 2025. Ang mga pag-atakeng ito ay kumakatawan sa isang lumalaking trend patungo sa panandaliang ngunit napakataas na throughput na mga pag-atake na idinisenyo upang malampasan ang modernong imprastraktura ng internet bago pa man ganap na makatugon ang mga tradisyunal na depensa.
Kampanya na 'Ang Gabi Bago ang Pasko'
Ang AISURU/Kimwolf ay konektado rin sa isang kasunod na malawakang operasyon na kilala bilang The Night Before Christmas, na nagsimula noong Disyembre 19, 2025. Sa kampanyang ito, ang mga hyper-volumetric attack ay may average na 3 bilyong packet kada segundo (Bpps), 4 na Tbps ng bandwidth, at 54 milyong request kada segundo (Mrps). Ang pinakamataas na antas ay umabot sa 9 na Bpps, 24 na Tbps, at 205 Mrps, na nagbibigay-diin sa kakayahan ng botnet na makabuo ng matagal at matinding dami ng trapiko.
Malakas na Paglago ng Aktibidad ng DDoS sa 2025
Ang aktibidad ng DDoS ay bumilis nang husto sa buong 2025, tumaas ng 121% taon-taon. Sa karaniwan, 5,376 na pag-atake ang awtomatikong naibsan bawat oras. Ang kabuuang taunang dami ay mahigit doble, na umabot sa humigit-kumulang 47.1 milyong pag-atake. Ang mga pag-atake sa network-layer ay nagtala ng malaking bahagi ng paglagong ito, kung saan 34.4 milyon ang naibsan noong 2025 kumpara sa 11.4 milyon noong 2024. Sa ikaapat na quarter lamang, ang mga pag-atake sa network-layer ay kumakatawan sa 78% ng lahat ng insidente ng DDoS, na sumasalamin sa 31% na pagtaas kumpara sa nakaraang quarter at 58% na pagtaas kumpara sa 2024.
Pagtaas sa Iskala at Dalas
Ang huling quarter ng 2025 ay nakakita ng 40% na pagtaas sa mga hyper-volumetric na pag-atake kumpara sa nakaraang quarter, mula 1,304 patungong 1,824 na insidente. Mas maaga sa taong ito, 717 lamang na ganitong pag-atake ang naitala sa unang quarter. Bukod sa dalas, ang magnitude ng pag-atake ay lumawak din nang malaki, kung saan ang laki ay lumaki nang mahigit 700% kumpara sa malalaking pag-atake na naobserbahan noong huling bahagi ng 2024.
Pagpapalawak ng Botnet sa pamamagitan ng mga Nakompromisong Device
Tinatayang kontrolado ng AISURU/Kimwolf ang isang botnet na binubuo ng mahigit dalawang milyong Android device. Karamihan ay mga nakompromisong Android television na hindi kilala ang brand na palihim na naka-enroll at nai-ruta sa pamamagitan ng mga residential proxy network tulad ng IPIDEA. Ginamit ang mga proxy service na ito upang itago ang pinagmulan ng pag-atake at palakasin ang trapiko.
Pagkagambala sa Proxy Infrastructure at Legal na Aksyon
Bilang tugon sa mga aktibidad na ito, kamakailan ay ginulo ng mga eksperto ang IPIDEA residential proxy network at nagpasimula ng mga legal na hakbang upang buwagin ang dose-dosenang mga domain na ginagamit para sa mga operasyon ng command-and-control at traffic proxying. Ang pagtanggal ay nakasagabal din sa mga kakayahan ng IPIDEA sa paglutas ng domain, na lubhang nagpababa sa kakayahan nitong pamahalaan ang mga nahawaang device at gawing komersyal ang mga serbisyo ng proxy nito. Maraming mga account at domain ang sinuspinde matapos matukoy na nagpapadali sa pamamahagi ng malware at ilegal na pag-access sa mga residential proxy network.
Pamamahagi ng Malware at Pagpapatala ng Covert Proxy
Ipinapahiwatig ng mga imbestigasyon na ang IPIDEA ay nag-enroll ng mga device sa pamamagitan ng hindi bababa sa 600 trojanized na Android application na nag-e-embed ng mga proxy software development kit, pati na rin ang mahigit 3,000 trojanized na Windows binary na nagbalatkayo bilang mga OneDrive synchronization tool o Windows update. Bukod pa rito, ang operasyon na nakabase sa Beijing ay nag-advertise ng mga VPN at proxy application na tahimik na nagko-convert ng mga Android device ng mga user sa mga proxy exit node nang walang kamalayan o pahintulot ng user. Ang mga operator ay naiugnay din sa hindi bababa sa isang dosenang residential proxy services na nagpakilala bilang mga lehitimong alok habang sa huli ay nagpapakain sa isang sentralisadong imprastraktura na kontrolado ng IPIDEA.
Mga Pangunahing Trend ng DDoS na Naobserbahan noong Q4 2025
Mga target na sektor, mga apektadong rehiyon, at pinagmulan ng pag-atake: Ang mga tagapagbigay ng serbisyo at carrier ng telekomunikasyon ang mga pinaka-target na organisasyon, na sinusundan ng mga sektor ng teknolohiya ng impormasyon, pagsusugal, paglalaro, at software ng computer. Kasama sa mga bansang may pinakamaraming inatake ang China, Hong Kong, Germany, Brazil, Estados Unidos, United Kingdom, Vietnam, Azerbaijan, India, at Singapore. Ang Bangladesh ang lumitaw bilang pinakamalaking pinagmumulan ng trapiko ng DDoS, na nalampasan ang Indonesia, kasama ang iba pang kilalang pinagmumulan kabilang ang Ecuador, Argentina, Hong Kong, Ukraine, Taiwan, Singapore, at Peru.
Mga Implikasyon para sa mga Istratehiya sa Pagtatanggol
Mabilis na tumataas ang mga pag-atake ng DDoS sa parehong sopistikasyon at saklaw, na higit na lumalagpas sa mga limitasyong inaasahan noon. Ang umuusbong na tanawin ng banta na ito ay nagdudulot ng mga seryosong hamon para sa mga organisasyong nagsisikap na makasabay sa paggamit ng mga tradisyunal na depensa. Ang mga negosyong patuloy na umaasa pangunahin sa mga on-premise mitigation appliances o on-demand scrubbing center ay maaaring mangailangan na muling suriin ang kanilang mga diskarte sa proteksyon ng DDoS upang matugunan ang mga katotohanan ng mga hyper-volumetric, short-duration na pag-atake.
