Aisuru i Kimwolf – jak botnety zmieniają zasady w sieci i zarabiają na nas

Kto naprawdę zarobił na Aisuru i Kimwolf? Podpowiedź: nie tylko autorzy malware i na pewno nie twój dostawca internetu.

Te dwa botnety zaczynały od rekordowych DDoS-ów, a skończyły jako ciszej działająca, znacznie bardziej dochodowa maszyna do handlu ruchem z domowych urządzeń. Zyskał cały łańcuch cyberprzestępczy: od operatorów sprzedających „moc” i proxy, po tych, którzy karmią nimi hurtowe scrapowanie danych na potrzeby AI. Tracili wszyscy pozostali – od operatorów szerokopasmówek po użytkowników, których smart TV stał się cudzym modemem.

Afera nie jest niszowa. Mówimy o botnecie, który według Cloudflare potrafił uderzyć 29,7 Tb/s w 69 sekund i o odnodze (Kimwolf), która przejęła ponad 1,8-2 miliony Androidowych TV boksów. Lumen (Black Lotus Labs) w ciągu czterech miesięcy wyciął ponad 550 serwerów C2, ale operatorzy botnetów wstają po każdym ciosie. Stawka? To, kto kontroluje nową walutę internetu: ruch z „prawdziwych” domowych adresów IP.

Aisuru i Kimwolf: krótka mapa terenu

Aisuru to turbo-Mirai nowej generacji: DDoS-for-hire, ale z menu a la carte – UDP/TCP/GRE floody średnimi pakietami, losowane porty/flag, do tego pakiet usług bocznych: credential stuffing, spam, phishing i AI-driven web scraping. Ciosy bywały chirurgiczne, a skala miażdżyła: generowany z zainfekowanych urządzeń ruch potrafił wywracać sieci dostawców.

Kimwolf wykluł się z Aisuru latem/jesienią 2025 r. i błyskawicznie wyszedł z niszy. Wykorzystał dziurę po zdemontowanym RapperBocie, masowo infekując „nieoficjalne” Android TV boxy. Technicznie to sprytna bestia: NDK, DoT (DNS over TLS) dla ukrywania komunikacji, weryfikacja komend C2 podpisami ECDSA, a po kilku zrzutach infrastruktury przejście na EtherHiding z ENS – czyli wskazówki C2 zaszyte w domenach na blockchainie. Gdy badacze przejęli jeden z C2, w trzy dni zobaczyli 2,7 mln unikalnych IP; realnie aktywnych urządzeń było co najmniej 1,8 mln.

Środek ciężkości: proxy

Aisuru zaczynał od demolowania rekordów DDoS, ale szybko przeszedł na „bardziej zrównoważony” model biznesowy: wynajmowanie setek tysięcy urządzeń IoT do usług proxy. To branża, w której liczy się jedno – czy twoje żądanie wygląda, jakby wyszło z czyjegoś salonu w Ohio. Aisuru/Kimwolf dostarczyły taki towar w ilościach hurtowych, szczególnie z sieci amerykańskich operatorów, co utrudnia blokowanie bez rykoszetu u uczciwych użytkowników.

Kto skorzystał najbardziej

• Operatorzy botnetów. Oczywiste? Tak, ale warto dodać, że źródeł wpływów było wiele: klasyczny DDoS-for-hire, wynajem „mocy” jako residential proxy oraz zlecenia od ekip robiących credential stuffing, spam i phishing. W komunikacji widać czysto finansową motywację, łącznie z „pozdrowieniami” dla badaczy.
• Rynki proxy i ich klienci. Nadpodaż „mieszkalnych” IP obniżała barierę wejścia. Zwycięzcami zostali ci, którzy potrzebują masy sesji z adresów wyglądających „na człowieka”: scraperzy treści, agregatorzy danych, zespoły „wzbogacające” zbiory dla projektów AI, ale też klasycy od automatyzacji oszustw. Efekt uboczny: Cloudflare musiał tymczasowo wyciąć domeny Aisuru z publicznego rankingu top stron, bo botnet pchał je nad Google i Amazona, jednocześnie atakując DNS.
• Klienci DDoS-for-hire: od rekieterów po graczy. Kimwolf lubi „wybuchać” krótko – 1-2 minuty, czasem dłużej – idealnie na wysadzenie serwera z dala od radarów. Częstym celem bywały serwery Minecrafta.
• Pośredni beneficjenci „ery AI danych”. Eksperci wskazują, że zalew tanich residential proxy napędza wielkoskalowe harvestowanie treści pod projekty AI – bo skuteczniej omija blokady antybotowe. Nie znaczy to, że duże laby to sankcjonują; raczej, że kłusownicy danych dostali nowe paliwo rakietowe.

Kto przegrał

• Dostawcy Internetu i ich klienci. Skala ataków potrafi zakorkować sieć szerokopasmową; zdarzały się awarie sprzętu rdzeniowego. DDoS-y „rozlewają się” poza cel, wywołując uboczne downtime’y i zatory.
• Każdy, komu zależy na wiarygodnych metrykach w sieci. Jeśli botnet w tydzień wpycha swoje domeny na szczyt listy Cloudflare, to wiemy, jak łatwo zmanipulować obraz „najczęściej odwiedzanych” stron.
• Użytkownicy tanich TV boksów. Urządzenia bez wsparcia i aktualizacji stały się świetną farmą botów. Nikt ich nie pytał o zgodę, ale rachunek – w postaci lagi, przeciążonego łącza i ryzyka – zapłacili sami.

Jak to się kręci mimo „przecinania kabli”

Black Lotus Labs od października wycinał kolejne głowy hydrze – ponad 550 serwerów C2 Aisuru/Kimwolf trafiło na null-route. Operatorzy reagowali błyskawicznie, stawiając nową infrastrukturę w godzinach. Kimwolf używa DoT, podpisów ECDSA i EtherHiding, żeby utrudnić przejęcia i zrzuty; rozproszone strefy czasowe i wersje zwiększają żywotność. Badacze namierzali też powiązania infrastrukturalne (m.in. adresy IP i domeny powiązane z C2), które dzielono z organami ścigania – ale to wciąż puzzle bez pełnego obrazka.

Co robić po stronie obrony:

• Wycofywać z sieci „nieoficjalne” Android TV boxy i inne niełatawane IoT; aktualizować firmware tam, gdzie to możliwe.
• Blokować znane wskaźniki C2 (adresy, domeny) i wskazówki w ENS/EtherHiding; automatyzować dystrybucję IOCs.
• Monitorować i ograniczać nietypowy ruch wychodzący z CPE (np. skoki UDP/TCP); stosować egress filtering i rate limiting na brzegu.
• Inspekcjonować i alertować ruch DoT do nieznanych hostów, który maskuje kanały C2.
• Po stronie usługodawców – weryfikować dostawców proxy i wymagać KYC, by utrudnić obrót „mieszkalnym” ruchem z botnetów.

Szerszy trend? Botnety dojrzewają jak reszta sieci. Zamiast wielkich fajerwerków przez cały rok, wolą stałe, niskoprofilowe przychody z proxy i automatyzacji nadużyć. DDoS to przy okazji: demonstracja siły, bat na opornych, element oferty.

Dopóki łańcuch dostaw „tanich” urządzeń domowych nie zacznie wymagać aktualizacji i podstawowych zabezpieczeń, a rynek proxy nie zaostrzy KYC, dopóty zwycięzcy tej układanki pozostaną ci sami.

Puenta? Internet w 2026 r. uczy pokory. Najcenniejszym towarem nie są już dane per se, tylko wiarygodne pochodzenie ruchu. Aisuru i Kimwolf sprzedawały właśnie to. Pytanie nie brzmi, czy kolejny botnet zrobi to samo. Raczej: ile jeszcze naszych „inteligentnych” pudełek do niego dołączy.

FAQ

Czy Kimwolf nadal działa w 2026 roku?

Tak, choć jest aktywnie zakłócany przez branżę. Lumen i partnerzy blokują infrastrukturę C2, ale operatorzy szybko odtwarzają serwery.

Czy Aisuru/Kimwolf atakowały infrastrukturę krytyczną?

Dotychczas unikały celów rządowych i wojskowych. Skutki uboczne DDoS-ów potrafiły jednak uderzać w niepowiązane usługi.

Kto stoi za botnetami Aisuru i Kimwolf?

Publicznie nie wiadomo. Badacze wskazywali powiązania infrastrukturalne (adresy IP i konkretne domeny), ale to nie są ujawnione nazwiska.

Dlaczego domeny Aisuru trafiły na szczyt rankingów Cloudflare?

Bo botnet sztucznie pompował ruch do swoich domen, równocześnie atakując DNS. Cloudflare usunął te domeny z listy, by nie legitymizować manipulacji.

Skąd wzięła się skala infekcji Kimwolfa?

Z masowych kompromitacji nieoficjalnych Android TV boxów i nadużycia sieci proxy do lokalnego sterowania. Te urządzenia rzadko dostają aktualizacje bezpieczeństwa.

Źródła

• [1] https://securityaffairs.com/186918/cyber-crime/lumen-disrupts-aisuru-and-kimwolf-botnet-by-blocking-over-550-c2-servers.html
• [2] https://krebsonsecurity.com/tag/aisuru/
• [3] https://cyberscoop.com/kimwolf-aisuru-botnet-lumen-technologies/
• [4] https://cyberpress.org/kimwolf-android-botnet/
• [5] https://krebsonsecurity.com/category/ddos-for-hire/