AISURU/Kimwolf 僵尸网络

被追踪为 AISURU/Kimwolf 的分布式拒绝服务 (DDoS) 僵尸网络与一次前所未有的攻击有关，该攻击峰值流量高达每秒 31.4 太比特 (Tbps)。尽管攻击强度极大，但持续时间很短，仅 35 秒。该事件发生在 2025 年 11 月，目前是已知规模最大的 DDoS 攻击。

超大流量HTTP攻击的兴起

安全研究人员已将此事件认定为 2025 年第四季度由 AISURU/Kimwolf 驱动的超大流量 HTTP DDoS 攻击活动激增的一部分。这些攻击代表了一种日益增长的趋势，即攻击持续时间短但吞吐量极高，旨在传统防御措施能够完全反应之前压垮现代互联网基础设施。

“圣诞前夜”活动

AISURU/Kimwolf 还与随后名为“圣诞前夜”（The Night Before Christmas）的大规模攻击行动有关，该行动始于 2025 年 12 月 19 日。在此次攻击活动中，超大流量攻击的平均数据包吞吐量达到每秒 30 亿个（Bpps），带宽消耗高达 4 Tbps，请求速率达到每秒 5400 万次（Mrps）。峰值分别达到每秒 9 Bpps、24 Tbps 和 205 Mrps，凸显了该僵尸网络持续产生极端流量的能力。

2025年DDoS攻击活动将呈爆炸式增长

2025年DDoS攻击活动显著加速，同比增长121%。平均每小时自动缓解5376次攻击。年度攻击总量翻了一番多，达到约4710万次。网络层攻击是这一增长的主要来源，2025年缓解的此类攻击达3440万次，而2024年仅为1140万次。仅在第四季度，网络层攻击就占所有DDoS事件的78%，较上一季度增长31%，较2024年同期增长58%。

规模和频率的升级

2025年第四季度超大规模攻击事件较上一季度增长40%，从1304起攀升至1824起。而今年第一季度仅记录到717起此类攻击。除了攻击频率大幅提升外，攻击规模也显著扩大，与2024年末的大规模攻击相比，规模增长超过700%。

通过受感染设备扩展僵尸网络

据评估，AISURU/Kimwolf 控制着一个由超过两百万台安卓设备组成的僵尸网络。其中大部分是已被入侵的非品牌安卓电视，这些电视已被秘密注册并通过 IPIDEA 等住宅代理网络进行路由。这些代理服务已被用于掩盖攻击来源并放大流量。

代理基础设施中断及法律诉讼

针对这些活动，专家近期对IPIDEA住宅代理网络进行了突击检查，并采取法律措施关闭了数十个用于命令控制操作和流量代理的域名。此次行动还干扰了IPIDEA的域名解析能力，严重削弱了其管理受感染设备和商业化代理服务的能力。许多账户和域名因被认定为传播恶意软件和非法访问住宅代理网络而被暂停使用。

恶意软件分发和隐蔽代理注册

调查显示，IPIDEA通过至少600个嵌入代理软件开发工具包的恶意安卓应用程序以及3000多个伪装成OneDrive同步工具或Windows更新的恶意Windows二进制文件来注册用户设备。此外，这家总部位于北京的犯罪组织还推广VPN和代理应用程序，这些应用程序会在用户不知情或未经同意的情况下，悄悄地将用户的安卓设备变成代理出口节点。该组织还与至少十几个住宅代理服务有关联，这些服务伪装成合法产品，但最终都接入了由IPIDEA控制的集中式基础设施。

2025年第四季度观察到的主要DDoS攻击趋势

攻击目标、受影响地区及攻击来源：电信运营商是攻击目标最多的组织，其次是信息技术、博彩、游戏和计算机软件行业。遭受攻击最多的国家/地区包括中国、香港、德国、巴西、美国、英国、越南、阿塞拜疆、印度和新加坡。孟加拉国成为DDoS攻击流量的最大来源国，超过了印度尼西亚，其他主要来源国包括厄瓜多尔、阿根廷、香港、乌克兰、台湾、新加坡和秘鲁。

对防御策略的启示

DDoS攻击的复杂性和规模都在迅速增长，远远超出了之前的预期。这种不断演变的威胁形势给试图依靠传统防御手段应对的组织带来了严峻挑战。那些仍然主要依赖本地部署的缓解设备或按需清洗中心的企业，可能需要重新评估其DDoS防护策略，以应对高流量、短时攻击的现实情况。