AISURU/Kimwolf-Botnetz
Das als AISURU/Kimwolf identifizierte DDoS-Botnetz wird mit einem beispiellosen Angriff in Verbindung gebracht, dessen Datenvolumen einen Spitzenwert von 31,4 Terabit pro Sekunde (Tbps) erreichte. Trotz seiner extremen Intensität war der Angriff mit nur 35 Sekunden von kurzer Dauer. Der Vorfall ereignete sich im November 2025 und gilt bis heute als der größte jemals beobachtete DDoS-Angriff.
Inhaltsverzeichnis
Zunahme hypervolumetrischer HTTP-Angriffe
Sicherheitsforscher haben dieses Ereignis als Teil eines umfassenderen Anstiegs von hypervolumetrischen HTTP-DDoS-Angriffen identifiziert, die im vierten Quartal 2025 von AISURU/Kimwolf verursacht werden. Diese Angriffe stellen einen wachsenden Trend hin zu kurzzeitigen, aber extrem hochvolumigen Angriffen dar, die darauf abzielen, die moderne Internetinfrastruktur zu überlasten, bevor herkömmliche Verteidigungsmechanismen vollständig reagieren können.
„Die Nacht vor Weihnachten“-Kampagne
AISURU/Kimwolf wird auch mit einer nachfolgenden großangelegten Operation namens „Die Nacht vor Weihnachten“ in Verbindung gebracht, die am 19. Dezember 2025 begann. Während dieser Kampagne erreichten die hypervolumetrischen Angriffe durchschnittlich 3 Milliarden Pakete pro Sekunde (Bpps), 4 Terabit pro Sekunde (Tbps) Bandbreite und 54 Millionen Anfragen pro Sekunde (Mrps). Spitzenwerte von bis zu 9 Bpps, 24 Tbps und 205 Mrps unterstreichen die Fähigkeit des Botnetzes, dauerhaft extreme Datenverkehrsmengen zu generieren.
Explosives Wachstum der DDoS-Aktivitäten im Jahr 2025
Die DDoS-Aktivität nahm im Laufe des Jahres 2025 dramatisch zu und stieg im Vergleich zum Vorjahr um 121 %. Im Durchschnitt wurden stündlich 5.376 Angriffe automatisch abgewehrt. Das jährliche Gesamtvolumen hat sich mehr als verdoppelt und erreichte rund 47,1 Millionen Angriffe. Netzwerkbasierte Angriffe trugen maßgeblich zu diesem Wachstum bei: 34,4 Millionen wurden 2025 abgewehrt, verglichen mit 11,4 Millionen im Jahr 2024. Allein im vierten Quartal machten netzwerkbasierte Angriffe 78 % aller DDoS-Vorfälle aus, was einem Anstieg von 31 % gegenüber dem Vorquartal und von 58 % gegenüber 2024 entspricht.
Eskalation in Ausmaß und Häufigkeit
Im vierten Quartal 2025 stieg die Zahl der Angriffe mit hohem Volumen im Vergleich zum Vorquartal um 40 % – von 1.304 auf 1.824 Vorfälle. Im ersten Quartal des Jahres waren lediglich 717 solcher Angriffe registriert worden. Neben der reinen Häufigkeit nahm auch das Ausmaß der Angriffe deutlich zu: Sie wuchsen um mehr als 700 % im Vergleich zu den großflächigen Angriffen Ende 2024.
Botnetzausweitung durch kompromittierte Geräte
AISURU/Kimwolf kontrolliert schätzungsweise ein Botnetz mit über zwei Millionen Android-Geräten. Die meisten davon sind kompromittierte Android-Fernseher unbekannter Hersteller, die heimlich registriert und über Residential-Proxy-Netzwerke wie IPIDEA geleitet wurden. Diese Proxy-Dienste wurden genutzt, um die Ursprünge der Angriffe zu verschleiern und den Datenverkehr zu verstärken.
Störung der Proxy-Infrastruktur und rechtliche Schritte
Als Reaktion auf diese Aktivitäten haben Experten kürzlich das IPIDEA-Residential-Proxy-Netzwerk lahmgelegt und rechtliche Schritte eingeleitet, um Dutzende von Domains zu entfernen, die für Command-and-Control-Operationen und Traffic-Proxying genutzt wurden. Die Abschaltung beeinträchtigte auch die Domainauflösung von IPIDEA und schränkte dessen Fähigkeit, infizierte Geräte zu verwalten und seine Proxy-Dienste zu kommerzialisieren, erheblich ein. Zahlreiche Konten und Domains wurden gesperrt, nachdem sie als Plattformen für die Verbreitung von Malware und den illegalen Zugriff auf Residential-Proxy-Netzwerke identifiziert worden waren.
Malware-Verbreitung und verdeckte Proxy-Registrierung
Untersuchungen deuten darauf hin, dass IPIDEA Geräte über mindestens 600 manipulierte Android-Apps mit eingebetteten Proxy-Softwareentwicklungskits sowie über mehr als 3.000 manipulierte Windows-Binärdateien, getarnt als OneDrive-Synchronisierungstools oder Windows-Updates, registriert hat. Darüber hinaus bewarb die in Peking ansässige Organisation VPN- und Proxy-Anwendungen, die Android-Geräte der Nutzer unbemerkt und ohne deren Zustimmung in Proxy-Exit-Nodes umwandelten. Die Betreiber wurden außerdem mit mindestens einem Dutzend Residential-Proxy-Diensten in Verbindung gebracht, die sich als legitime Angebote präsentierten, letztendlich aber in eine zentralisierte, von IPIDEA kontrollierte Infrastruktur eingebunden waren.
Wichtige DDoS-Trends im 4. Quartal 2025
Betroffene Sektoren, Regionen und Ursprung der Angriffe: Telekommunikationsanbieter und -netzbetreiber waren die am häufigsten angegriffenen Organisationen, gefolgt von der Informationstechnologie-, Glücksspiel-, Spiele- und Softwarebranche. Zu den am stärksten betroffenen Ländern zählten China, Hongkong, Deutschland, Brasilien, die USA, Großbritannien, Vietnam, Aserbaidschan, Indien und Singapur. Bangladesch erwies sich als größter Ursprung von DDoS-Angriffen und überholte damit Indonesien. Weitere wichtige Ursprungsländer waren Ecuador, Argentinien, Hongkong, die Ukraine, Taiwan, Singapur und Peru.
Auswirkungen auf Verteidigungsstrategien
DDoS-Angriffe werden immer ausgefeilter und umfangreicher und übertreffen die bisherigen Erwartungen bei Weitem. Diese sich ständig verändernde Bedrohungslandschaft stellt Unternehmen, die mit traditionellen Abwehrmechanismen Schritt halten wollen, vor große Herausforderungen. Unternehmen, die weiterhin primär auf lokale Abwehrsysteme oder bedarfsgesteuerte Scrubbing-Center setzen, müssen ihre DDoS-Schutzstrategien möglicherweise überdenken, um den Realitäten hypervolumetrischer, kurzzeitiger Angriffe gerecht zu werden.
