Beginnen Sie mit dem Bau

Was ist das Aisuru-Kimwolf-Botnetz?

Das Aisuru-Kimwolf-Botnet ist ein großes Netzwerk von Schadsoftware-kompromittierten Geräten, die in der Lage sind, hypervolumetrische DDoS-Angriffe zu starten.

Was ist das Aisuru-Kimwolf-Botnetz?

Das Aisuru-Kimwolf-Botnetz ist eine riesige Sammlung von mit Schadsoftware infizierten Geräten, die für eine Reihe von Angriffen verwendet werden, darunter DDoS-Angriffe. Zusammen umfassen Aisuru und Kimwolf schätzungsweise ein bis vier Millionen infizierte Hosts. Es ist in der Lage, DDoS-Angriffe zu starten, die kritische Infrastrukturen lahmlegen, die meisten älteren cloudbasierten DDoS-Schutzlösungen zum Absturz bringen und sogar die Konnektivität ganzer Länder unterbrechen.

Hypervolumetrische und ultra-ausgeklügelte Angriffe

Aisuru-Kimwolf war für einige der größten hypervolumetrischen DDoS-Angriffe verantwortlich, die jemals verzeichnet wurden, darunter ein DDoS-Angriff mit 31,4 Terabit pro Sekunde (Tbit/s), ein DDoS-Angriff mit 14,1 Milliarden Paketen pro Sekunde (Bpps), ausgeklügelte DNS-basierte DDoS-Angriffe wie „Water Torture“ und Random Prefix-Angriffe sowie HTTP-DDoS-Angriffe mit mehr als 200 Millionen Anfragen pro Sekunde.

Diese bit- und paketintensiven Angriffe verwenden in der Regel eine sogenannte Carpet-Bombing-Technik zusammen mit einer starken Randomisierung der Paketattribute, um nicht entdeckt zu werden. Die Angriffe werden in der Regel in einer „Hit-and-Run“-Technik ausgeführt: ein schneller Anstieg des Angriffs-Traffics erreicht fast augenblicklich seine Maximalwerte und dauert einige Sekunden bis einige Minuten. Innerhalb eines einzigen Jahres (2025–2026) wuchs das potenzielle Ausmaß des Aisuru-Kimwolf-Angriffs um über 700 %.

Was ist Aisuru?

Das Aisuru-Botnetz ist ein Verbund aus mit Schadsoftware infizierten Geräten – von privaten Internet-of-Things-(IoT)-Geräten und DVRs über Netzwerk-Appliances bis hin zu cloudgehosteten virtuellen Maschinen (VMs). Diese kompromittierten Systeme agieren gemeinsam, um DDoS-Angriffe durchzuführen.

Aisuru dient als architektonische Grundlage oder „übergeordnetes“ Botnetz, auf deren Grundlage andere Varianten entwickelt wurden. Es ist Teil eines breiteren Schadsoftware-Ökosystems, das auf verschiedene Geräte abzielt, um hypervolumetrische DDoS-Angriffe zu starten.

Was ist Kimwolf?

Kimwolf ist ein hochaktives und schnell wachsendes Botnetz, das speziell auf Android-Geräte wie TV-Streaming-Boxen (Smart TVs), Android-Streamer und Android-Mobilgeräte abzielt. Kimwolf selbst umfasst weltweit etwa 2 Millionen Geräte mit erheblichen Infektionsraten in Vietnam, Brasilien, Indien und Saudi-Arabien.

Es wird für hypervolumetrische DDoS-Angriffe, Credential Stuffing und nicht autorisierte App-Installationen eingesetzt.

Die Beziehung zwischen Aisuru und Kimwolf

Die Beziehung ist im Wesentlichen die einer Variante zu einem übergeordneten Element. Kimwolf ist die „Android-Variante“ des Aisuru-DDoS-Botnetzes. Es nutzt die DDoS-Kernfunktionalität von Aisuru, ist aber auf die Infizierung und den Einsatz innerhalb des Android-Ökosystems spezialisiert.

Beide sind Teil eines Systems, das kompromittierte Geräte zu Geld macht, indem es sie in „Residential Proxies“ verwandelt. Die Parteien, die Aisuru und Kimwolf betreiben, verkaufen den Zugang zu den IP-Adressen dieser infizierten Geräte an andere Nutzer oder Proxy-Anbieter, wodurch Cyberkriminelle ihre Angriffe anonym halten können. Die Weiterleitungsdienste von Aisuru wurden insbesondere für Data-Scraping-Angriffe genutzt.

Zudem werden Teile des Botnetzes von verschiedenen Akteuren als „Botnet-for-Hire“, auch bekannt als DDoS-as-a-Service, monetarisiert. Diese Dienste werden über Discord- und Telegram-Kanäle verkauft – teils schon für wenige Dutzend US-Dollar. Je nach Umfang und Dauer des Angriffs können die Preise jedoch auf mehrere Tausend US-Dollar steigen. Die Einnahmen fließen in die Weiterentwicklung des Botnetzes.

Zusammenfassend lässt sich sagen, dass Aisuru das ursprüngliche DDoS-Framework ist und Kimwolf der spezialisierte Android-„Arm“ ist, der das massive Wachstum des Netzwerks durch die Ausnutzung der laxen Sicherheit der Proxy-Dienste für Privathaushalte angekurbelt hat. Das Aisuru-Kimwolf-Botnetz ist ein parasitäres DDoS-Ökosystem mit hoher Geschwindigkeit. Es steht für einen modernen Wandel in der Cyberkriminalität: Bedrohungsakteure greifen nicht mehr nur Endnutzer an, sondern nutzen gezielt die Residential-Proxy-Industrie, um Angriffe im großen Stil durchzuführen.

Was ist ein Botnetz?

Ein Botnet ist ein Verbund netzwerkfähiger Geräte, die durch Malware kompromittiert wurden und von einer böswilligen Partei gesteuert werden. Viele – wenn nicht die meisten – Systeme in einem Botnet scheinen normal zu funktionieren, während die Schadsoftware im Hintergrund auf Befehle wartet. Die Betreiber wollen unentdeckt bleiben, damit ihr Netzwerk möglichst groß bleibt. Grundsätzlich gilt: Je mehr Geräte ein Botnet umfasst, desto wirkungsvoller ist es – mehr Geräte bedeuten größere Datenmengen aus einer breiteren Palette von IP-Adressen.

Botnetze bestehen überwiegend aus ganz gewöhnlichen Alltagsgeräten in Haushalten und Büros. Besonders anfällig dafür, Teil eines Botnetzes zu werden, sind IoT-Geräte. Das liegt daran, dass IoT-Geräte:

  • Werden nur selten aktualisiert, was bedeutet, dass Sicherheitslücken in der Software über Jahre hinweg ausgenutzt werden können
  • Werden nicht überwacht oder nur selten auf Kompromittierung überprüft (die meisten Nutzer schließen sie einfach an und aktivieren sie)
  • Werden selten deaktiviert
  • Verwenden oft Standard-Anmeldedaten für den Administratorzugriff

Router sind auch oft Ziele von Botnet-verbreiteter Schadsoftware, weil sie ständig mit dem Internet verbunden sind, selten abgeschaltet oder aktualisiert werden und oft Sicherheitslücken aufweisen. Viele, wenn nicht die meisten Haushalte und Unternehmen haben Router, und viele wissen nicht, wie man sie richtig sichern kann.

Wie ein Botnetz funktioniert

Botnetz-Geräte warten auf Anweisungen, bevor sie böswillige Aktivitäten ausführen. Sobald sie Anweisungen erhalten haben, senden sie Informationspakete – den Netzwerk-„Traffic“ – an das Ziel, das typischerweise eine bestimmte Anwendung, Website, ein Netzwerk oder einen Server ist. Wenn Tausende von Geräten zusammenarbeiten, kann das Ziel überfordert sein.

Stellen Sie sich vor, mehrere hundert Pakete von unterschiedlichsten Absendern treffen gleichzeitig an der Rezeption eines Büros ein, und die Empfangskraft muss jedes einzelne quittieren. Besucher müssen warten – oder werden gar nicht mehr bedient. Ein Botnet erzielt eine ähnliche Wirkung: Es überlastet sein Ziel so stark, dass legitimen Anwendungsnutzern der Service verweigert wird.

Was ist bei Aisuru-Kimwolf im Vergleich zu anderen Botnets einzigartig?

  • Ausmaß: Aisuru-Kimwolf hat massive Angriffe mit einem noch nie dagewesenen Traffic-Volumen gestartet, das in der Größenordnung von 30 Tbit/s und 14 Bpps liegt. Während selbst diese DDoS-Angriffe durch eine DDoS-Abwehr mit ausreichender Kapazität blockiert werden können, sind Aisuru-Kimwolf-Angriffe so groß, dass sie trotzdem die ISP-Dienste für nachgelagerte Kunden beeinträchtigen können. Denken Sie daran, wie starker Autoverkehr auf einer Autobahn selbst auf Straßen, die auf die Autobahn führen oder von ihr abgehen, zu Rückstaus führen kann.
  • Standort: Viele der infizierten Geräte im Aisuru-Kimwolf-Botnetz befinden sich in den USA, was es für US-basierte Dienstleister erschwert, Angriffsverkehr von legitimen Anfragen zu unterscheiden. Auffälliger Traffic aus ungewöhnlichen Regionen – etwa aus einem weit entfernten Land – lässt sich leichter identifizieren. Die US-Standorte steigern zudem den Wert der Proxy-Dienste von Aisuru-Kimwolf, da Cyberkriminelle so legitime US-Kunden in bevölkerungsreichen Gebieten imitieren können.
  • Selektive Ziele: Die Betreiber von Aisuru-Kimwolf scheinen Angriffe auf wichtige Dienste wie staatliche oder militärische Ziele zu vermeiden. Dies kann dazu beitragen, dass die Störungen durch die Strafverfolgungsbehörden nicht vorrangig behandelt werden.

Es sei darauf hingewiesen, dass die Angriffe von Aisuru-Kimwolf zwar enorm sein können, die größten Attacken jedoch selten länger als ein paar Sekunden dauern.

Wie verbreitet sich Aisuru-Kimwolf?

Die von Aisuru ins Visier genommenen Geräte können aus den oben genannten Gründen verwundbar sein – etwa durch Standardzugangsdaten, veraltete Firmware mit bekannten Schwachstellen und Ähnliches. Die Betreiber des Botnetzes scannen das Internet gezielt nach anfälligen Systemen und schleusen ihre Malware überall dort ein, wo es möglich ist.

Aisuru kann zudem Zero-Day-Schwachstellen in Router-Firmware ausnutzen, um sich rasch zu verbreiten. Gegen solche Sicherheitslücken gibt es keinen Schutz, bis der Hersteller sie erkennt und einen Patch bereitstellt.

Kimwolf nutzt verwundbare Android Debug Bridge (ADB)-Dienste aus. Viele günstige TV-Boxen werden bereits „vorinfiziert“ mit Proxy-SDKs ausgeliefert; Kimwolf durchsucht anschließend diese Residential-Proxy-Netzwerke und kompromittiert die Geräte innerhalb weniger Minuten während seiner Ausbreitung.

Welche Taktik verwendet das Aisuru-Kimwolf-Botnetz?

Für DDoS-Angriffe setzt Aisuru häufig auf Attacken über DNS, TCP, UDP und das GRE-Protokoll. Am verbreitetsten ist das sogenannte UDP-Carpet-Bombing – diese Methode kam auch bei dem massiven 31,4-Tbit/s-Angriff von Aisuru sowie bei ähnlich großen Attacken zum Einsatz. Dabei richtet sich der Traffic nicht nur gegen eine einzelne IP-Adresse, sondern gegen viele gleichzeitig. Der Datenverkehr pro einzelner IP kann unterhalb der Erkennungsschwelle bleiben, doch in Summe überlastet er die verfügbare Bandbreite des Netzwerks.

Darüber hinaus hat Aisuru-Kimwolf hypervolumetrische HTTP-DDoS-Angriffe gestartet, die hauptsächlich auf die Gaming-Branche abzielten.

Weitere Informationen zur Funktionsweise von TCP-basierten Angriffen finden Sie unter SYN-Flood-Angriffe und ACK-Flood-Angriffe.

Wie hilft Aisuru-Kimwolf Cyberangreifern, ihren Datenverkehr zu verbergen?

Ein Proxy ist ein Server, der zwischen einem netzwerkverbundenen Computer und dem übrigen Netzwerk steht und den Datenverkehr in dessen Namen weiterleitet. Obwohl Proxys viele legitime Einsatzzwecke haben – etwa zur Erhöhung der Sicherheit –, nutzen Cyberkriminelle sie, um die wahre Herkunft bösartigen Netzwerkverkehrs zu verschleiern.

Forscher haben Aisuru als Quelle großer Mengen an über Proxys geleitetem böswilligem Traffic identifiziert. Aisuru verkauft „Residential Proxy“-Dienste: Der Datenverkehr kann so aussehen, als stamme er von normalen Heimanwendern in den USA. Diese Dienste wurden zu einem großen Teil genutzt, um die wahre Quelle von Data Scraping-Bots zu verschleiern, die Daten von Websites entgegen den Wünschen dieser Websites sammeln.

Aisuru-Kimwolf und Mirai

Das Mirai-Botnetz ist ein großes und mächtiges DDoS-Botnetz, das besonders in den späten 2010er Jahren aktiv war. Der Code von Mirai wurde 2016 geleakt und bildete seither die Grundlage für mehrere andere große Botnetze, darunter Aisuru. Sowohl Aisuru-Kimwolf als auch Mirai enthalten große Mengen an IoT-Geräten.

Andere Beispiele für Botnetze sind Moobot und Meris.

So sind Sie vor Aisuru-Kimwolf DDoS-Angriffen sicher

Cloudflare bekämpft DDoS-Angriffe jeder Größe. Der oben beschriebene Aisuru-Kimwolf-Angriff mit 31,4 Tbit/s wurde von der autonomen DDoS-Abwehr von Cloudflare automatisch erkannt und abgewehrt. Jedes Netzwerk, jede Website, jede Anwendung und jede API kann Cloudflare nutzen, um große und kleine Aisuru-Angriffe zu blockieren. Cloudflare-Tarife hier ansehen.

Um mehr über Aisuru zu erfahren, einschließlich der Kompromittierungshinweise (IoC), die auf einen Aisuru-basierten Angriff hinweisen, lesen Sie die Kurzdarstellung der Bedrohung: „Aisuru-Botnet: Angriffe Anfang Oktober eskalieren zu rekordverdächtiger DDoS-Aktivität.“