AISURU/Kimwolf 殭屍網絡

被追蹤為 AISURU/Kimwolf 的分散式阻斷服務 (DDoS) 殭屍網路與一次前所未有的攻擊有關，該攻擊峰值流量高達每秒 31.4 太比特 (Tbps)。儘管攻擊強度極大，但持續時間很短，僅 35 秒。該事件發生在 2025 年 11 月，目前是已知規模最大的 DDoS 攻擊。

超大流量HTTP攻擊的興起

安全研究人員已將此事件認定為 2025 年第四季由 AISURU/Kimwolf 驅動的超大流量 HTTP DDoS 攻擊活動激增的一部分。這些攻擊代表了一種日益增長的趨勢，即攻擊持續時間短但吞吐量極高，旨在傳統防禦措施能夠完全反應之前壓垮現代互聯網基礎設施。

「聖誕夜」活動

AISURU/Kimwolf 也與隨後名為「聖誕前夕」（The Night Before Christmas）的大規模攻擊行動有關，該行動始於 2025 年 12 月 19 日。在此次攻擊活動中，超大流量攻擊的平均封包吞吐量達到每秒 30 億（Bpps），頻寬消耗高達 4 Tbps，請求速率達到每秒 5,400 萬次（Mrps）。峰值分別達到每秒 9 Bpps、24 Tbps 和 205 Mrps，凸顯了此殭屍網路持續產生極端流量的能力。

2025年DDoS攻擊活動將呈現爆炸性成長

2025年DDoS攻擊活動顯著加速，較去年同期成長121%。平均每小時自動緩解5376次攻擊。年度攻擊總量翻了一番多，達到約4710萬次。網路層攻擊是此成長的主要來源，2025年緩解的此類攻擊達3,440萬次，而2024年僅為1,140萬次。光是第四季度，網路層攻擊就佔所有DDoS事件的78%，較上一季成長31%，較2024年同期成長58%。

規模和頻率的升級

2025年第四季超大規模攻擊事件較上一季成長40%，從1304起攀升至1824起。而今年第一季僅記錄到717起此類攻擊。除了攻擊頻率大幅提升外，攻擊規模也顯著擴大，與2024年末的大規模攻擊相比，規模增加超過700%。

透過受感染設備擴展殭屍網絡

根據評估，AISURU/Kimwolf 控制著一個由超過兩百萬台安卓裝置組成的殭屍網路。其中大部分是已入侵的非品牌安卓電視，這些電視已被秘密註冊並透過 IPIDEA 等住宅代理網路進行路由。這些代理服務已被用於掩蓋攻擊來源並放大流量。

代理基礎設施中斷及法律訴訟

針對這些活動，專家近期對IPIDEA住宅代理網路進行了突擊檢查，並採取法律措施關閉了數十個用於命令控制操作和流量代理的網域。此次行動也幹擾了IPIDEA的網域解析能力，嚴重削弱了其管理受感染設備和商業化代理服務的能力。許多帳戶和網域因被認定為傳播惡意軟體和非法存取住宅代理網路而被暫停使用。

惡意軟體分發和隱蔽代理註冊

調查顯示，IPIDEA透過至少600個嵌入代理軟體開發工具包的惡意安卓應用程式以及3000多個偽裝成OneDrive同步工具或Windows更新的惡意Windows二進位檔案來註冊用戶設備。此外，這家總部位於北京的犯罪組織還推廣VPN和代理應用程序，這些應用程式會在用戶不知情或未經同意的情況下，悄悄地將用戶的安卓設備變成代理出口節點。該組織也與至少十幾個住宅代理服務有關聯，這些服務偽裝成合法產品，但最終都連接了由IPIDEA控制的集中式基礎設施。

2025年第四季觀察到的主要DDoS攻擊趨勢

攻擊目標、受影響地區及攻擊來源：電信業者是攻擊目標最多的組織，其次是資訊科技、博弈、遊戲和電腦軟體產業。遭受攻擊最多的國家包括中國、香港、德國、巴西、美國、英國、越南、亞塞拜然、印度和新加坡。孟加拉成為DDoS攻擊流量的最大來源國，超過了印度尼西亞，其他主要來源國包括厄瓜多、阿根廷、香港、烏克蘭、台灣、新加坡和秘魯。

對防禦策略的啟示

DDoS攻擊的複雜性和規模都在迅速增長，遠遠超出了先前的預期。這種不斷演變的威脅情勢為試圖依靠傳統防禦手段應對的組織帶來了嚴峻挑戰。那些仍主要依賴本地部署的緩解設備或按需清洗中心的企業，可能需要重新評估其DDoS防護策略，以應對高流量、短時攻擊的現實情況。