Aisuru 殭屍網路轉型:從DDoS到住宅代理
2025年10月28日,Aisuru殭屍網路的運營者已經將其策略從令人矚目的分散式阻斷服務攻擊(DDoS)轉向租賃數十萬被感染的物聯網(IoT)設備,作為代理服務的一部分,協助網路犯罪分子匿名化其流量。專家指出,Aisuru和其他來源的代理過剩正在推動與人工智慧(AI)項目相關的大規模數據採集工作,幫助內容抓取者通過看似普通用戶的住宅連接來規避檢測。
Aisuru的影響力
最早在2024年8月被識別,Aisuru已經擴散到至少70萬台IoT系統,包括安全性薄弱的網路路由器和安全攝像頭。Aisuru的控制者曾利用其龐大的殭屍網路對目標發動DDoS攻擊,從所有被感染系統同時向目標主機發送大量垃圾請求。
今年6月,Aisuru對KrebsOnSecurity.com發動了一次達到6.3Tb/s的DDoS攻擊,成為當時Google曾經緩解的最大攻擊事件。隨後的數月,Aisuru的運營者展示了接近30Tb/s的DDoS能力,遠超大多數網路目的地的緩解能力。
影響美國的網路服務供應商
這些數位圍攻特別影響了美國的網路服務供應商(ISP),部分原因是Aisuru成功控制了大量美國的IoT設備。當Aisuru發動攻擊時,這些ISP的感染系統發出的出站流量通常高得足以中斷或降低其他用戶的網路服務。
Netscout的首席工程師Roland Dobbins在最近的Aisuru報告中寫道:“多家寬頻接入網路運營商因Aisuru殭屍網路節點從終端用戶處發起的超過1.5Tb/s的出站DDoS攻擊而受到顯著運營影響。”
聯邦當局的關注
Aisuru的持續攻擊引起了美國和歐洲聯邦當局的注意(許多Aisuru的受害者是歐洲的ISP和主機提供商的客戶)。最近,一些全球最大的ISP開始非正式地分享黑名單,以識別攻擊者用來控制殭屍網路活動的伺服器位置。
轉向住宅代理
專家表示,Aisuru的運營者最近更新了其惡意軟體,使受感染設備更容易租給所謂的“住宅代理”提供商。這些代理服務允許付費客戶通過他人設備路由其網路通信,提供匿名性,並能夠在幾乎任何主要城市中看似普通的網路用戶。
從網站的角度來看,住宅代理網路用戶的IP流量似乎來自租用的住宅IP地址,而不是代理服務的客戶。代理服務可以合法地用於多種商業目的,如價格比較或銷售情報,但它們被大規模濫用於隱藏網路犯罪活動(如廣告欺詐、憑證填充),因為它們使得追溯惡意流量的原始來源變得困難。
內容抓取行業的變革
整個陰暗的行業似乎正在將注意力轉向支持積極的內容抓取活動,這些活動不斷將原始數據輸入構建為支持各種AI項目的大語言模型(LLM)。