Главный новогодний фейерверк был не в небе. Пока вы резали салаты, ботнеты атаковали планету с рекордной скоростью

Рекордные DDoS-атаки всё чаще становятся короткими, но запредельно мощными, и конец 2025 года это хорошо показал. Cloudflare сообщила о всплеске сверхкрупных HTTP DDoS-атак, за которыми стоит ботнет AISURU/Kimwolf.

Самый заметный эпизод произошёл в ноябре 2025 года и достиг пика 31,4 Тбит/с. Атака длилась всего 35 секунд, но Cloudflare автоматически обнаружила и остановила её, отнеся инцидент к серии гиперобъёмных атак этого ботнета в четвёртом квартале.

AISURU/Kimwolf также связывают с кампанией The Night Before Christmas, стартовавшей 19 декабря 2025 года. По данным Cloudflare, средние показатели атак в рамках этой активности составляли около 3 млрд пакетов в секунду, 4 Тбит/с и 54 млн запросов в секунду, а максимальные значения доходили до 9 млрд пакетов в секунду, 24 Тбит/с и 205 млн запросов в секунду.

Параллельно Cloudflare зафиксировала резкий рост общего числа DDoS-атак. Омер Йоахимик и Хорхе Пачеко из компании оценили увеличение на 121% по итогам 2025 года и указали, что в среднем ежечасно автоматически блокировалось 5 376 атак.

Суммарно за год число DDoS-атак превысило 47,1 млн. На сетевом уровне Cloudflare отразила 34,4 млн атак против 11,4 млн в 2024 году, а в четвёртом квартале 2025-го сетевой уровень дал 78% всей DDoS-активности. Количество атак выросло на 31% квартал к кварталу и на 58% относительно 2024 года. Число гиперобъёмных атак за квартал поднялось на 40% и достигло 1 824 случаев, при этом их размеры выросли более чем на 700% по сравнению с крупными атаками конца 2024 года.

Cloudflare также описала инфраструктуру, подпитывающую AISURU/Kimwolf. По оценке компании, ботнет затронул более 2 млн устройств на Android, чаще всего это взломанные безымянные Android TV, а для обхода ограничений активно применялись резидентские прокси-сети вроде IPIDEA.

В январе Google нарушила работу этой прокси-сети и начала судебные действия для отключения десятков доменов, которые использовались для управления устройствами и проксирования трафика. Одновременно Google и Cloudflare совместно ограничили разрешение доменов IPIDEA, что осложнило операторам управление заражёнными устройствами и продвижение сервисов.

По данным Cloudflare, IPIDEA привлекала устройства через не менее чем 600 троянизированных Android-приложений, куда были встроены прокси-SDK, а также через более 3 000 троянизированных Windows-бинарников, маскировавшихся под OneDriveSync или обновления Windows.

Отдельно отмечены VPN и прокси-приложения, которые незаметно превращали Android-устройства в выходные узлы без ведома пользователей. Кроме того, операторы поддерживали минимум дюжину резидентских прокси-бизнесов, внешне похожих на легитимные, но объединённых общей централизованной инфраструктурой.

Среди тенденций четвёртого квартала 2025 года Cloudflare выделила отрасли, которые атаковали чаще всего, это телеком, провайдеры и операторы связи, затем ИТ, азартные игры, гейминг и разработка ПО. В число наиболее атакуемых стран вошли Китай, Гонконг, Германия, Бразилия, США, Великобритания, Вьетнам, Азербайджан, Индия и Сингапур, а крупнейшим источником DDoS-трафика стала Бангладеш, обогнав Индонезию.