AISURU/Mạng botnet Kimwolf
Mạng botnet tấn công từ chối dịch vụ phân tán (DDoS) mang tên AISURU/Kimwolf được cho là có liên quan đến một cuộc tấn công chưa từng có, đạt đỉnh điểm ở mức 31,4 terabit mỗi giây (Tbps). Mặc dù cường độ cực cao, cuộc tấn công chỉ diễn ra trong thời gian ngắn, vỏn vẹn 35 giây. Sự việc xảy ra vào tháng 11 năm 2025 và hiện được ghi nhận là cuộc tấn công DDoS lớn nhất từng được quan sát.
Mục lục
Sự gia tăng của các cuộc tấn công HTTP quy mô siêu lớn
Các nhà nghiên cứu bảo mật đã xác định sự kiện này là một phần của sự gia tăng mạnh mẽ hoạt động tấn công DDoS HTTP quy mô siêu lớn do AISURU/Kimwolf thực hiện trong quý 4 năm 2025. Những cuộc tấn công này thể hiện xu hướng ngày càng tăng hướng tới các cuộc tấn công ngắn hạn nhưng có thông lượng cực cao, được thiết kế để làm quá tải cơ sở hạ tầng internet hiện đại trước khi các biện pháp phòng thủ truyền thống có thể phản ứng đầy đủ.
Chiến dịch 'Đêm trước Giáng sinh'
AISURU/Kimwolf cũng được cho là có liên quan đến một chiến dịch quy mô lớn sau đó được gọi là Đêm Trước Giáng Sinh, bắt đầu vào ngày 19 tháng 12 năm 2025. Trong chiến dịch này, các cuộc tấn công siêu lưu lượng đạt trung bình 3 tỷ gói tin mỗi giây (Bpps), 4 Tbps băng thông và 54 triệu yêu cầu mỗi giây (Mrps). Mức cao nhất đạt tới 9 Bpps, 24 Tbps và 205 Mrps, cho thấy khả năng tạo ra lưu lượng truy cập cực lớn và liên tục của mạng botnet này.
Hoạt động tấn công DDoS sẽ bùng nổ vào năm 2025.
Hoạt động tấn công DDoS tăng tốc mạnh mẽ trong suốt năm 2025, tăng 121% so với năm trước. Trung bình, mỗi giờ có 5.376 cuộc tấn công được tự động ngăn chặn. Tổng số lượng tấn công hàng năm tăng hơn gấp đôi, đạt khoảng 47,1 triệu cuộc tấn công. Các cuộc tấn công ở lớp mạng chiếm một phần đáng kể trong sự tăng trưởng này, với 34,4 triệu cuộc tấn công được ngăn chặn trong năm 2025 so với 11,4 triệu cuộc tấn công trong năm 2024. Chỉ riêng trong quý IV, các cuộc tấn công ở lớp mạng chiếm 78% tổng số sự cố DDoS, phản ánh mức tăng 31% so với quý trước và tăng 58% so với năm 2024.
Sự leo thang về quy mô và tần suất
Quý cuối năm 2025 chứng kiến sự gia tăng 40% các cuộc tấn công quy mô lớn so với quý trước đó, tăng từ 1.304 lên 1.824 vụ. Đầu năm, chỉ có 717 vụ tấn công loại này được ghi nhận trong quý đầu tiên. Không chỉ về tần suất, quy mô tấn công cũng mở rộng đáng kể, với quy mô tăng hơn 700% so với các cuộc tấn công quy mô lớn được ghi nhận vào cuối năm 2024.
Mở rộng mạng Botnet thông qua các thiết bị bị xâm nhập
AISURU/Kimwolf được đánh giá là đang kiểm soát một mạng botnet gồm hơn hai triệu thiết bị Android. Phần lớn là các thiết bị Android TV không rõ thương hiệu bị xâm nhập, đã được bí mật đăng ký và định tuyến thông qua các mạng proxy dân dụng như IPIDEA. Các dịch vụ proxy này đã được sử dụng để che giấu nguồn gốc tấn công và khuếch đại lưu lượng truy cập.
Sự gián đoạn cơ sở hạ tầng ủy quyền và hành động pháp lý
Để đối phó với các hoạt động này, các chuyên gia gần đây đã làm gián đoạn mạng lưới proxy dân cư của IPIDEA và khởi xướng các biện pháp pháp lý để gỡ bỏ hàng chục tên miền được sử dụng cho các hoạt động điều khiển từ xa và chuyển tiếp lưu lượng truy cập. Việc gỡ bỏ cũng gây cản trở khả năng phân giải tên miền của IPIDEA, làm suy giảm đáng kể khả năng quản lý các thiết bị bị nhiễm và thương mại hóa dịch vụ proxy của họ. Nhiều tài khoản và tên miền đã bị đình chỉ sau khi được xác định là tạo điều kiện cho việc phân phối phần mềm độc hại và truy cập bất hợp pháp vào mạng lưới proxy dân cư.
Phân phối phần mềm độc hại và đăng ký proxy bí mật
Các cuộc điều tra cho thấy IPIDEA đã đăng ký thiết bị thông qua ít nhất 600 ứng dụng Android bị nhiễm mã độc Trojan, nhúng các bộ công cụ phát triển phần mềm proxy, cũng như hơn 3.000 tệp nhị phân Windows bị nhiễm mã độc Trojan được ngụy trang dưới dạng công cụ đồng bộ hóa OneDrive hoặc bản cập nhật Windows. Ngoài ra, hoạt động có trụ sở tại Bắc Kinh này đã quảng cáo các ứng dụng VPN và proxy âm thầm chuyển đổi thiết bị Android của người dùng thành các nút thoát proxy mà người dùng không hề hay biết hoặc đồng ý. Các nhà điều hành cũng có liên hệ với ít nhất một chục dịch vụ proxy dân cư tự xưng là các dịch vụ hợp pháp trong khi thực chất lại cung cấp dữ liệu cho cơ sở hạ tầng tập trung do IPIDEA kiểm soát.
Các xu hướng tấn công DDoS chính được ghi nhận trong quý 4 năm 2025
Các lĩnh vực mục tiêu, khu vực bị ảnh hưởng và nguồn gốc tấn công: Các nhà cung cấp và vận chuyển viễn thông là những tổ chức bị nhắm mục tiêu nhiều nhất, tiếp theo là các lĩnh vực công nghệ thông tin, cờ bạc, trò chơi và phần mềm máy tính. Các quốc gia bị tấn công nhiều nhất bao gồm Trung Quốc, Hồng Kông, Đức, Brazil, Hoa Kỳ, Vương quốc Anh, Việt Nam, Azerbaijan, Ấn Độ và Singapore. Bangladesh nổi lên là nguồn gây ra tấn công DDoS lớn nhất, vượt qua Indonesia, với các nguồn nổi bật khác bao gồm Ecuador, Argentina, Hồng Kông, Ukraine, Đài Loan, Singapore và Peru.
Ý nghĩa đối với các chiến lược phòng thủ
Các cuộc tấn công DDoS đang gia tăng nhanh chóng cả về mức độ tinh vi và quy mô, vượt xa những giới hạn dự kiến trước đây. Bối cảnh mối đe dọa đang phát triển này đặt ra những thách thức nghiêm trọng cho các tổ chức đang cố gắng theo kịp bằng các biện pháp phòng thủ truyền thống. Các doanh nghiệp vẫn chủ yếu dựa vào các thiết bị giảm thiểu tấn công tại chỗ hoặc các trung tâm lọc tấn công theo yêu cầu có thể cần phải đánh giá lại chiến lược bảo vệ DDoS của mình để đối phó với thực tế của các cuộc tấn công quy mô siêu lớn, thời gian ngắn.
