В конце 2025 года инфраструктура телекоммуникационных компаний и IT-организаций оказалась под масштабной волной DDoS-атак, организованных ботнетом Aisuru (также известным как Kimwolf). 19 декабря Cloudflare зафиксировала пик давления со стороны атакующих — 31,4 Тбит/с и до 200 млн HTTP-запросов в секунду. Это стало самым мощным DDoS-ударом, о котором когда-либо сообщалось публично.
Ботнет Aisuru ранее уже был замечен в атаках подобного масштаба. Прежний рекорд также принадлежал ему — 29,7 Тбит/с. Microsoft ранее связывала с этим ботнетом атаку, достигшую 15,72 Тбит/с и исходившую с примерно 500 тыс. IP-адресов.
Cloudflare назвала декабрьскую серию атак «Ночь перед Рождеством», подчеркнув её внезапность и интенсивность. Целями стали как клиенты Cloudflare, так и её собственные интерфейсы и инфраструктура. В отчёте компании эта кампания охарактеризована как беспрецедентный натиск, охвативший как HTTP-запросы на уровне приложений (Layer 7), так и атаки на сетевом уровне (Layer 4). По данным компании, пики превышали 200 млн запросов в секунду и 31,4 Тбит/с соответственно.
Атаки были короткими, но предельно интенсивными. Более 50% инцидентов длились от одной до двух минут, при этом лишь 6% затянулись дольше. Примерно 90% пиковой нагрузки приходились на диапазон 1–5 Тбит/с, а 94% случаев сопровождались скоростью передачи от 1 до 5 млрд пакетов в секунду.
Несмотря на масштаб, Cloudflare подчёркивает, что атаки были автоматически обнаружены и локализованы без вмешательства специалистов и без срабатывания внутренних тревог. Инфраструктура компании выдержала удар без серьёзных последствий.
Источник мощностей Aisuru, как указывается в отчёте, по-прежнему остаётся прежним — это взломанные устройства интернета вещей и домашние маршрутизаторы. Однако в декабрьской волне среди задействованных устройств Cloudflare выделила Android TV, что отражает продолжающееся расширение арсенала ботнета.
Согласно итоговому отчёту Cloudflare за IV квартал 2025 года, за год компания зафиксировала 47,1 млн DDoS-атак — это на 121% больше по сравнению с 2024 годом. В среднем на защитную инфраструктуру приходилось более 5,3 тыс. DDoS-атак в час. Большинство из них — 73% — относились к сетевому уровню, остальные касались HTTP-запросов.