Selon Cyber Security News, le botnet Aisuru/Kimwolf a lancé la campagne « The Night Before Christmas » dès le 19 décembre 2025, aboutissant à l’attaque DDoS publique la plus volumineuse jamais observée avec un pic de 31,4 Tbps, combinant des attaques couche 4 à bande passante record et des floods HTTP dépassant 200 millions de requêtes par seconde.

• Point saillant: le pic de 31,4 Tbps dépasse le précédent record de 29,7 Tbps (septembre 2025) attribué au même botnet. Les sources d’attaque provenaient de box Android TV non officielles compromis(es), orchestrées en rafales intenses.

Distribution et caractéristiques de l’attaque 📊

  • Intensité: 90,3% des attaques culminent entre 1–5 Tbps ; 5,5% entre 5–10 Tbps ; 0,1% > 30 Tbps. Côté paquets: 94,5% entre 1–5 Bpps ; 4% entre 5–10 Bpps ; 1,5% entre 10–15 Bpps.
  • Durée: rafales courtes privilégiées — 27,1% durent 30–60 s ; 57,2% 60–120 s ; seulement 6% dépassent 2 min.
  • Secteurs visés: jeu vidéo (42,5%) en tête, puis IT & Services (15,3%). Aussi télécoms (2,2%), FAI, jeux d’argent, logiciels.
  • Ciblage géographique: États-Unis (30,8%) principaux visés, puis Chine (7,7%) et Hong Kong (3,2%). Top 10 complété par Brésil, Royaume-Uni, Allemagne, Canada, Inde, Suisse, Taïwan.

Évolution d’Aisuru/Kimwolf 🔎

  • Variante Kimwolf (depuis août 2025) centrée Android: > 2 millions d’Android TV non officiels infectés, utilisation de réseaux proxy résidentiels pour un C2 distribué.
  • Visibilité: en octobre 2025, le botnet a temporairement propulsé son domaine en tête du classement mondial Cloudflare par trafic.
  • Disruption: Black Lotus Labs (Lumen) a null-routé le trafic vers >550 serveurs C2 Aisuru/Kimwolf, mais les opérateurs ont basculé rapidement vers de nouveaux nœuds, notamment via des IP Resi Rack LLC et des ASNs communs.

Tendances DDoS 2025 (données Cloudflare) 🌐

  • Volume: 47,1 M d’attaques en 2025 (+121% vs 2024 ; +236% vs 2023). Moyenne horaire: 5 376 attaques (3 925 réseau ; 1 451 HTTP).
  • Réseau (L3/L4): 34,4 M en 2025 (x3 vs 2024). Q4: 8,5 M attaques (+152% YoY ; +43% QoQ), représentant 78% de l’activité.
  • Intensification: >100 Mpps en hausse de 600% ; >1 Tbps +65% QoQ. Près de 1/100 attaques réseau >1 Mpps.
  • HTTP (L7): 71,5% attribuées aux botnets connus ; 18,8% attributs HTTP suspects ; 5,8% navigateurs factices/headless ; 1,8% floods génériques. 78,9% finissent <10 min ; 69,4% <50k rps ; 2,8% >1M rps. Le nouveau système de détection en temps réel a automatiquement neutralisé >50% des attaques HTTP.

Sources d’infrastructure d’attaque et mitigation 🛰️

  • Origines géographiques (Q4 2025): Bangladesh 1er, Équateur 2e, Indonésie 3e ; Argentine 4e (↑20 places). Aussi Hong Kong, Ukraine, Vietnam, Taïwan, Singapour, Pérou. Russie recule (−5), États-Unis (−4).
  • Réseaux sources: forte présence de cloud providers (p. ex. DigitalOcean AS14061, Microsoft AS8075, Tencent, Oracle, Hetzner) et d’opérateurs télécoms APAC (Vietnam, Chine, Malaisie, Taïwan).
  • Résilience Cloudflare: 449 Tbps de capacité sur 330 PoP ; le pic 31,4 Tbps n’a consommé que 7% du total. Mitigation automatisée sans alerte interne ni intervention humaine.

IOCs et TTPs

  • IOCs (tels que rapportés): basculement C2 vers des adresses IP Resi Rack LLC ; AS DigitalOcean (AS14061), Microsoft (AS8075) observés parmi les principales sources.
  • TTPs: DDoS hyper-volumétrique L4 + floods HTTP L7 ; Android TV compromis et proxys résidentiels ; rafales courtes (30–120 s) pour saturer avant mitigation ; relocation rapide des C2 vers de nouveaux nœuds/ASNs ; exploitation d’instances cloud facilement provisionnables.

Article de synthèse factuelle et d’analyse de menace décrivant une campagne record, sa distribution, son infrastructure et la posture de mitigation.

🧠 TTPs et IOCs détectés

TTPs

DDoS hyper-volumétrique L4, floods HTTP L7, Android TV compromis, proxys résidentiels, rafales courtes (30–120 s), relocation rapide des C2 vers de nouveaux nœuds/ASNs, exploitation d’instances cloud facilement provisionnables

IOCs

basculement C2 vers des adresses IP Resi Rack LLC, AS DigitalOcean (AS14061), Microsoft (AS8075)

🔗 Source originale : https://cybersecuritynews.com/31-4-tbps-ddos-attack/

🖴 Archive : https://web.archive.org/web/20260131113131/https://cybersecuritynews.com/31-4-tbps-ddos-attack/