AISURU/Kimwolf Botnet'i
AISURU/Kimwolf olarak izlenen dağıtılmış hizmet reddi (DDoS) botnet'i, saniyede 31,4 terabit (Tbps) gibi eşi benzeri görülmemiş bir saldırıya karıştı. Aşırı yoğunluğuna rağmen, saldırı kısa sürdü ve sadece 35 saniye sürdü. Olay Kasım 2025'te gerçekleşti ve şimdiye kadar gözlemlenen en büyük DDoS saldırısı olarak kayıtlara geçti.
İçindekiler
Hiperhacimli HTTP Saldırılarının Yükselişi
Güvenlik araştırmacıları, bu olayı, 2025'in dördüncü çeyreğinde AISURU/Kimwolf tarafından yönlendirilen aşırı yüksek hacimli HTTP DDoS saldırılarındaki daha geniş bir artışın parçası olarak tanımladı. Bu saldırılar, geleneksel savunmalar tam olarak tepki vermeden önce modern internet altyapısını çökertmek için tasarlanmış, kısa süreli ancak olağanüstü yüksek verimli saldırılara yönelik artan bir eğilimi temsil etmektedir.
'Noel Arifesi' Kampanyası
AISURU/Kimwolf, 19 Aralık 2025'te başlayan ve "Noel Arifesi" olarak bilinen büyük ölçekli bir operasyonla da bağlantılıdır. Bu kampanya sırasında, hiper hacimli saldırılar saniyede ortalama 3 milyar paket (Bpps), 4 Tbps bant genişliği ve saniyede 54 milyon istek (Mrps) üretti. Zirve seviyeler 9 Bpps, 24 Tbps ve 205 Mrps'ye kadar ulaşarak botnet'in sürekli ve aşırı trafik hacimleri oluşturma yeteneğini vurguladı.
2025’te DDoS Saldırılarında Patlayıcı Büyüme
DDoS saldırıları 2025 yılı boyunca önemli ölçüde hızlanarak yıllık bazda %121 arttı. Ortalama olarak, her saatte 5.376 saldırı otomatik olarak engellendi. Toplam yıllık saldırı sayısı iki katından fazla artarak yaklaşık 47,1 milyona ulaştı. Ağ katmanı saldırıları bu büyümenin önemli bir bölümünü oluşturdu; 2025'te 34,4 milyon saldırı engellenirken, bu rakam 2024'te 11,4 milyondu. Sadece dördüncü çeyrekte, ağ katmanı saldırıları tüm DDoS olaylarının %78'ini oluşturdu; bu da önceki çeyreğe göre %31 ve 2024'e göre %58'lik bir artışı yansıtıyor.
Ölçek ve Sıklıkta Artış
2025 yılının son çeyreğinde, bir önceki çeyreğe kıyasla hiper-hacimli saldırılarda %40'lık bir artış görüldü ve olay sayısı 1.304'ten 1.824'e yükseldi. Yılın başlarında, ilk çeyrekte sadece 717 böyle saldırı kaydedilmişti. Saldırıların sıklığının ötesinde, büyüklüğü de önemli ölçüde arttı; 2024 sonlarında gözlemlenen büyük ölçekli saldırılara kıyasla boyutları %700'den fazla büyüdü.
Ele Geçirilmiş Cihazlar Aracılığıyla Botnet Yayılımı
AISURU/Kimwolf'un iki milyondan fazla Android cihazdan oluşan bir botnet'i kontrol ettiği tahmin ediliyor. Bunların büyük çoğunluğu, gizlice sisteme dahil edilmiş ve IPIDEA gibi ev tipi proxy ağları üzerinden yönlendirilmiş, ele geçirilmiş, markasız Android televizyonlardır. Bu proxy hizmetleri, saldırıların kaynağını gizlemek ve trafiği artırmak için kullanılmıştır.
Vekalet Altyapısının Bozulması ve Yasal İşlemler
Bu faaliyetlere karşılık olarak, uzmanlar yakın zamanda IPIDEA konut proxy ağını devre dışı bıraktı ve komuta-kontrol operasyonları ve trafik proxy'leme için kullanılan düzinelerce alan adını ortadan kaldırmak için yasal önlemler başlattı. Bu operasyon ayrıca IPIDEA'nın alan adı çözümleme yeteneklerini de etkiledi ve enfekte cihazları yönetme ve proxy hizmetlerini ticarileştirme yeteneğini önemli ölçüde zayıflattı. Kötü amaçlı yazılım dağıtımını ve konut proxy ağlarına yasa dışı erişimi kolaylaştırdığı tespit edilen çok sayıda hesap ve alan adı askıya alındı.
Kötü Amaçlı Yazılım Dağıtımı ve Gizli Proxy Kaydı
Soruşturmalar, IPIDEA'nın en az 600 adet truva atı bulaştırılmış Android uygulaması ve bu uygulamalara yerleştirilmiş proxy yazılım geliştirme kitleri ile 3.000'den fazla truva atı bulaştırılmış Windows ikili dosyası (OneDrive senkronizasyon araçları veya Windows güncellemeleri gibi görünen) aracılığıyla cihazları kaydettiğini gösteriyor. Ayrıca, Pekin merkezli operasyon, kullanıcıların Android cihazlarını kullanıcıların haberi veya onayı olmadan sessizce proxy çıkış düğümlerine dönüştüren VPN ve proxy uygulamaları reklamı yapıyordu. Operatörlerin ayrıca, kendilerini meşru teklifler olarak sunan ancak nihayetinde IPIDEA tarafından kontrol edilen merkezi bir altyapıya veri sağlayan en az bir düzine konut proxy hizmetiyle de bağlantılı olduğu tespit edildi.
2025’in 4. Çeyreğinde Gözlemlenen Başlıca DDoS Trendleri
Hedeflenen sektörler, etkilenen bölgeler ve saldırı kaynakları: En çok hedef alınan kuruluşlar telekomünikasyon sağlayıcıları ve operatörleri olurken, bunu bilgi teknolojisi, kumar, oyun ve bilgisayar yazılımı sektörleri izledi. En çok saldırıya uğrayan ülkeler arasında Çin, Hong Kong, Almanya, Brezilya, Amerika Birleşik Devletleri, Birleşik Krallık, Vietnam, Azerbaycan, Hindistan ve Singapur yer aldı. Bangladeş, Endonezya'yı geride bırakarak en büyük DDoS trafiği kaynağı oldu; diğer önemli kaynaklar arasında Ekvador, Arjantin, Hong Kong, Ukrayna, Tayvan, Singapur ve Peru yer aldı.
Savunma Stratejileri İçin Çıkarımlar
DDoS saldırıları hem karmaşıklık hem de ölçek açısından hızla artmakta ve önceden tahmin edilen sınırları çok aşmaktadır. Bu gelişen tehdit ortamı, geleneksel savunma yöntemlerini kullanarak ayak uydurmaya çalışan kuruluşlar için ciddi zorluklar yaratmaktadır. Ağırlıklı olarak şirket içi azaltma cihazlarına veya talep üzerine temizleme merkezlerine güvenmeye devam eden işletmelerin, hiper hacimli, kısa süreli saldırıların gerçekleriyle başa çıkmak için DDoS koruma stratejilerini yeniden değerlendirmeleri gerekebilir.
