Botnet AISURU/Kimwolf
Le botnet AISURU/Kimwolf, responsable d'une attaque par déni de service distribué (DDoS), a été associé à une attaque sans précédent ayant atteint un pic de 31,4 térabits par seconde (Tbps). Malgré son extrême intensité, l'attaque a été brève, ne durant que 35 secondes. Cet incident, survenu en novembre 2025, constitue à ce jour la plus importante attaque DDoS jamais enregistrée.
Table des matières
L’essor des attaques HTTP hypervolumétriques
Des chercheurs en sécurité ont identifié cet événement comme faisant partie d'une recrudescence plus large des attaques DDoS HTTP hypervolumétriques orchestrée par AISURU/Kimwolf au cours du quatrième trimestre 2025. Ces attaques représentent une tendance croissante vers des attaques de courte durée mais à débit extraordinairement élevé, conçues pour submerger l'infrastructure Internet moderne avant que les défenses traditionnelles ne puissent réagir pleinement.
Campagne « La nuit avant Noël »
AISURU/Kimwolf a également été impliqué dans une opération d'envergure ultérieure, baptisée « La Nuit avant Noël », qui a débuté le 19 décembre 2025. Durant cette campagne, les attaques hypervolumétriques ont généré en moyenne 3 milliards de paquets par seconde (Bpps), 4 Tbit/s de bande passante et 54 millions de requêtes par seconde (Mrps). Des pics ont été enregistrés, atteignant jusqu'à 9 Bpps, 24 Tbit/s et 205 Mrps, démontrant ainsi la capacité du botnet à générer des volumes de trafic extrêmement importants et soutenus.
Croissance explosive des attaques DDoS en 2025
L'activité des attaques DDoS s'est considérablement accélérée tout au long de l'année 2025, enregistrant une hausse de 121 % par rapport à l'année précédente. En moyenne, 5 376 attaques ont été automatiquement neutralisées chaque heure. Le volume annuel total a plus que doublé, atteignant environ 47,1 millions d'attaques. Les attaques de couche réseau ont représenté une part importante de cette croissance, avec 34,4 millions d'attaques neutralisées en 2025 contre 11,4 millions en 2024. Au cours du seul quatrième trimestre, les attaques de couche réseau ont représenté 78 % de tous les incidents DDoS, soit une augmentation de 31 % par rapport au trimestre précédent et de 58 % par rapport à 2024.
Escalade en ampleur et en fréquence
Le dernier trimestre 2025 a enregistré une hausse de 40 % des attaques hypervolumétriques par rapport au trimestre précédent, passant de 1 304 à 1 824 incidents. Plus tôt dans l’année, seules 717 attaques de ce type avaient été recensées au premier trimestre. Outre leur fréquence, l’ampleur des attaques a également connu une augmentation significative, leur taille ayant progressé de plus de 700 % par rapport aux attaques de grande envergure observées fin 2024.
Expansion des botnets via des appareils compromis
AISURU/Kimwolf contrôlerait un réseau de zombies de plus de deux millions d'appareils Android. La majorité sont des téléviseurs Android de marques inconnues, compromis et secrètement enregistrés et acheminés via des réseaux proxy résidentiels tels qu'IPIDEA. Ces services proxy ont été utilisés pour masquer l'origine des attaques et amplifier le trafic.
Perturbation de l’infrastructure de proxy et action en justice
En réponse à ces activités, des experts ont récemment démantelé le réseau de proxys résidentiels IPIDEA et engagé des poursuites judiciaires pour fermer des dizaines de domaines utilisés pour les opérations de commande et de contrôle, ainsi que pour le routage du trafic. Cette opération a également perturbé les capacités de résolution de domaines d'IPIDEA, réduisant considérablement son aptitude à gérer les appareils infectés et à commercialiser ses services de proxy. De nombreux comptes et domaines ont été suspendus après avoir été identifiés comme facilitant la distribution de logiciels malveillants et l'accès illicite aux réseaux de proxys résidentiels.
Distribution de logiciels malveillants et enrôlement furtif de proxy
L'enquête révèle qu'IPIDEA a recruté des appareils via au moins 600 applications Android piégées intégrant des kits de développement logiciel de proxy, ainsi que plus de 3 000 fichiers binaires Windows piégés, dissimulés sous forme d'outils de synchronisation OneDrive ou de mises à jour Windows. De plus, cette opération basée à Pékin faisait la promotion d'applications VPN et proxy qui transformaient discrètement les appareils Android des utilisateurs en nœuds de sortie proxy, à leur insu et sans leur consentement. Les opérateurs ont également été liés à au moins une douzaine de services proxy résidentiels se présentant comme des offres légitimes, alors qu'ils alimentaient en réalité une infrastructure centralisée contrôlée par IPIDEA.
Principales tendances en matière d’attaques DDoS observées au quatrième trimestre 2025
Secteurs ciblés, régions touchées et origines des attaques : Les opérateurs et fournisseurs de télécommunications ont été les organisations les plus visées, suivis par les secteurs des technologies de l’information, des jeux d’argent et des logiciels. Parmi les pays les plus touchés figuraient la Chine, Hong Kong, l’Allemagne, le Brésil, les États-Unis, le Royaume-Uni, le Vietnam, l’Azerbaïdjan, l’Inde et Singapour. Le Bangladesh est devenu la principale source de trafic DDoS, dépassant l’Indonésie. Parmi les autres sources importantes, on peut citer l’Équateur, l’Argentine, Hong Kong, l’Ukraine, Taïwan, Singapour et le Pérou.
Implications pour les stratégies défensives
Les attaques DDoS gagnent rapidement en sophistication et en ampleur, dépassant largement les limites initialement prévues. Cette évolution des menaces représente un défi majeur pour les organisations qui tentent de s'en prémunir avec des défenses traditionnelles. Les entreprises qui continuent de s'appuyer principalement sur des solutions de mitigation sur site ou des centres de nettoyage à la demande devront peut-être revoir leurs stratégies de protection DDoS afin de faire face à la réalité des attaques hypervolumiques et de courte durée.
