研究人员揭露了名为“AISURU” 的分布式拒绝服务(DDoS)与代理僵尸网络,它曾在全球范围内制造出创纪录的 11.5 Tbps 攻击流量。
AISURU 至少自2024 年起就已活跃,并在2025 年快速扩张,规模与能力大幅提升。目前估计已控制超过30 万台受感染设备,这些设备主要通过路由器漏洞被攻陷。
该发现由XLab 研究人员发布,报告基于内部遥测数据及一位熟悉 AISURU 威胁行为者的匿名线人提供的信息。
AISURU 最早于2024 年 8 月被 XLab 识别,当时它曾攻击游戏《黑神话:悟空》的分发平台。自那以来,XLab 的网络威胁洞察与分析系统(CTIA)已捕获数千个 AISURU 样本。
关键的扩张发生在2025年4月:该组织一名成员入侵了Totolink 路由器固件更新服务器,将固件请求重定向至恶意脚本(托管在updatetoto[.]tw)。在 DNS 遥测中,这次感染活动清晰可见,该域名在一个月内飙升至Tranco 排名672,588,并导致新增超过10 万台僵尸节点。
AISURU 由三名核心成员操控:
· Snow:僵尸网络开发者
· Tom:漏洞研究员与利用代码开发者
· Forky:负责变现与销售
他们因内部冲突和在载荷中夹带的“嘲讽”而臭名昭著,甚至在其他僵尸网络操作者中也颇受争议。其攻击包括多次创纪录的事件,例如2025 年5月对记者 Brian Krebs 个人网站的 DDoS 攻击,以及2025 年 9 月针对IP 185.211.78.117发动的11.5 Tbps 超大规模攻击。
AISURU 主要瞄准未打补丁的路由器与嵌入式系统,并持续利用已知漏洞(N-day)和新发现的 0-day 漏洞。受影响厂商包括:
· Totolink(固件更新服务器被攻陷)
· Cambium Networks(cnPilot 路由器 0-day)
· Zyxel、D-Link、Linksys、T-Mobile、Realtek 等
受害者遍布多个行业和地区,据 XLab 报告,该僵尸网络每天攻击目标多达数百个,不分行业与地域。
AISURU 使用改良版 RC4 算法进行字符串解密和通信加密,硬编码密钥为 PJbiNbbeasddDfsc。技术分析显示其具备多层反分析机制,包括:
· 环境检测:规避虚拟化与分析环境;
· OOM Killer 规避:操纵 /proc/self/oom_score_adj;
· 进程伪装:伪装为系统进程,如telnetd 或 klogd;
· 持久化与隐匿:通过保留 .so 库、重命名二进制文件等非常规方式实现;
· C2 通信:采用定制协议,支持 DDoS 攻击、命令执行、反弹 shell 与代理控制,基础设施使用混淆的 TXT 记录、XOR 编码及基于特定 IP 范围的 GRE 隧道。
AISURU 已从单纯的 DDoS 工具转型为多用途平台。最新版本增加了 代理模块,C2 指令显示其愈发重视住宅代理功能。通过调用 Speedtest 公共端点进行网速测试,僵尸网络可识别高带宽节点并优先用于代理业务。
这种转型符合地下市场的趋势:僵尸网络运营者不再仅依赖高调的 DDoS,而是多元化发展,代理节点被出租给需要低调基础设施的威胁行为者,用于欺诈、爬虫或命令执行。
要防御类似 AISURU 的僵尸网络攻击,建议:
· 及时更新路由器固件至最新版本;
· 限制 WAN 访问;
· 修改默认管理员凭证;
· 关闭未使用的服务。
转载自安全客