بات نت AISURU/Kimwolf

بات‌نت انکار سرویس توزیع‌شده (DDoS) که با نام AISURU/Kimwolf ردیابی می‌شود، به یک حمله بی‌سابقه با سرعت ۳۱.۴ ترابیت در ثانیه (Tbps) مرتبط دانسته شده است. با وجود شدت بسیار زیاد، این حمله کوتاه بود و تنها ۳۵ ثانیه طول کشید. این حادثه در نوامبر ۲۰۲۵ رخ داد و اکنون به عنوان بزرگترین حمله DDoS مشاهده شده تاکنون شناخته می‌شود.

افزایش حملات HTTP فوق حجمی

محققان امنیتی این رویداد را به عنوان بخشی از افزایش گسترده‌تر فعالیت‌های HTTP DDoS با حجم بسیار بالا که توسط AISURU/Kimwolf در سه‌ماهه چهارم سال 2025 هدایت می‌شد، شناسایی کرده‌اند. این حملات نشان‌دهنده روند رو به رشدی به سمت حملات کوتاه‌مدت اما با توان عملیاتی فوق‌العاده بالا هستند که برای از کار انداختن زیرساخت‌های مدرن اینترنت قبل از واکنش کامل سیستم‌های دفاعی سنتی طراحی شده‌اند.

کمپین «شب قبل از کریسمس»

AISURU/Kimwolf همچنین به یک عملیات گسترده بعدی به نام «شب قبل از کریسمس» که در ۱۹ دسامبر ۲۰۲۵ آغاز شد، مرتبط دانسته شده است. در طول این کمپین، حملات فوق حجمی به طور متوسط ۳ میلیارد بسته در ثانیه (Bpps)، ۴ ترابیت در ثانیه پهنای باند و ۵۴ میلیون درخواست در ثانیه (Mrps) را انجام دادند. سطوح اوج به ۹ Bpps، ۲۴ ترابیت در ثانیه و ۲۰۵ Mrps رسید که نشان‌دهنده توانایی این بات‌نت در تولید حجم ترافیک پایدار و شدید است.

رشد انفجاری فعالیت‌های DDoS در سال ۲۰۲۵

فعالیت DDoS در طول سال ۲۰۲۵ به طور چشمگیری افزایش یافت و نسبت به سال قبل ۱۲۱ درصد افزایش یافت. به طور متوسط، هر ساعت ۵۳۷۶ حمله به طور خودکار کاهش یافت. حجم کل سالانه بیش از دو برابر شد و به تقریباً ۴۷.۱ میلیون حمله رسید. حملات لایه شبکه بخش قابل توجهی از این رشد را به خود اختصاص دادند، به طوری که ۳۴.۴ میلیون حمله در سال ۲۰۲۵ در مقایسه با ۱۱.۴ میلیون حمله در سال ۲۰۲۴ کاهش یافت. تنها در سه ماهه چهارم، حملات لایه شبکه ۷۸ درصد از کل حوادث DDoS را تشکیل می‌دادند که نشان دهنده افزایش ۳۱ درصدی نسبت به سه ماهه قبل و افزایش ۵۸ درصدی نسبت به سال ۲۰۲۴ است.

تشدید در مقیاس و فرکانس

سه‌ماهه پایانی سال ۲۰۲۵ در مقایسه با سه‌ماهه قبل، شاهد افزایش ۴۰ درصدی حملات فوق حجمی بود و از ۱۳۰۴ به ۱۸۲۴ حادثه رسید. در اوایل سال، تنها ۷۱۷ مورد از این حملات در سه‌ماهه اول ثبت شده بود. فراتر از فراوانی صرف، بزرگی حملات نیز به طور قابل توجهی افزایش یافت و اندازه آنها در مقایسه با حملات بزرگ مشاهده شده در اواخر سال ۲۰۲۴، بیش از ۷۰۰ درصد افزایش یافت.

گسترش بات‌نت از طریق دستگاه‌های آلوده

ارزیابی شده است که AISURU/Kimwolf کنترل یک بات‌نت با بیش از دو میلیون دستگاه اندرویدی را بر عهده دارد. اکثر این دستگاه‌ها تلویزیون‌های اندرویدی غیرمعتبر و آلوده‌ای هستند که مخفیانه از طریق شبکه‌های پروکسی خانگی مانند IPIDEA ثبت و مسیریابی شده‌اند. این سرویس‌های پروکسی برای پنهان کردن منشأ حمله و افزایش ترافیک مورد استفاده قرار گرفته‌اند.

اختلال در زیرساخت پروکسی و اقدام قانونی

در پاسخ به این فعالیت‌ها، کارشناسان اخیراً شبکه پروکسی مسکونی IPIDEA را مختل کرده و اقدامات قانونی را برای از بین بردن ده‌ها دامنه مورد استفاده برای عملیات فرماندهی و کنترل و پروکسی ترافیک آغاز کرده‌اند. این حذف همچنین در قابلیت‌های تفکیک دامنه IPIDEA اختلال ایجاد کرد و توانایی آن را در مدیریت دستگاه‌های آلوده و تجاری‌سازی خدمات پروکسی خود به طور قابل توجهی کاهش داد. حساب‌ها و دامنه‌های متعددی پس از شناسایی به عنوان تسهیل‌کننده توزیع بدافزار و دسترسی غیرقانونی به شبکه‌های پروکسی مسکونی، به حالت تعلیق درآمدند.

توزیع بدافزار و ثبت نام پروکسی مخفی

تحقیقات نشان می‌دهد که IPIDEA از طریق حداقل ۶۰۰ برنامه اندرویدی آلوده به تروجان که کیت‌های توسعه نرم‌افزار پروکسی را در خود جای داده‌اند، و همچنین بیش از ۳۰۰۰ فایل باینری ویندوز آلوده به تروجان که خود را به عنوان ابزارهای همگام‌سازی OneDrive یا به‌روزرسانی‌های ویندوز جا زده‌اند، دستگاه‌ها را ثبت کرده است. علاوه بر این، این عملیات مستقر در پکن، برنامه‌های VPN و پروکسی را تبلیغ می‌کرد که دستگاه‌های اندرویدی کاربران را بدون آگاهی یا رضایت کاربر، به طور مخفیانه به گره‌های خروجی پروکسی تبدیل می‌کردند. اپراتورها همچنین به حداقل دوازده سرویس پروکسی مسکونی مرتبط شده‌اند که خود را به عنوان پیشنهادات قانونی ارائه می‌دادند، در حالی که در نهایت به یک زیرساخت متمرکز تحت کنترل IPIDEA تغذیه می‌شدند.

روندهای کلیدی DDoS مشاهده شده در سه ماهه چهارم 2025

بخش‌های هدف، مناطق آسیب‌دیده و منشأ حملات: ارائه‌دهندگان خدمات و اپراتورهای مخابراتی، سازمان‌هایی بودند که بیشترین هدف حملات قرار گرفتند و پس از آن بخش‌های فناوری اطلاعات، قمار، بازی و نرم‌افزار رایانه قرار گرفتند. کشورهایی که بیشترین حمله را متحمل شدند شامل چین، هنگ کنگ، آلمان، برزیل، ایالات متحده، بریتانیا، ویتنام، آذربایجان، هند و سنگاپور بودند. بنگلادش به عنوان بزرگترین منبع ترافیک DDoS ظاهر شد و از اندونزی پیشی گرفت و سایر منابع برجسته شامل اکوادور، آرژانتین، هنگ کنگ، اوکراین، تایوان، سنگاپور و پرو بودند.

پیامدهایی برای استراتژی‌های دفاعی

حملات DDoS هم از نظر پیچیدگی و هم از نظر مقیاس به سرعت در حال افزایش هستند و از محدودیت‌های پیش‌بینی‌شده قبلی بسیار فراتر رفته‌اند. این چشم‌انداز تهدید در حال تحول، چالش‌های جدی را برای سازمان‌هایی که سعی در همگام شدن با استفاده از دفاع‌های سنتی دارند، ایجاد می‌کند. شرکت‌هایی که همچنان عمدتاً به تجهیزات کاهش حملات در محل یا مراکز پاکسازی بر اساس تقاضا متکی هستند، ممکن است نیاز به ارزیابی مجدد استراتژی‌های محافظت DDoS خود داشته باشند تا با واقعیت‌های حملات بسیار حجمی و کوتاه‌مدت مقابله کنند.