Το Διαδίκτυο έχει δει μια απότομη αύξηση των απειλών που βασίζονται σε botnet τον περασμένο χρόνο, με μεγάλο μέρος της δραστηριότητας να εντοπίζεται σε μια από τις πιο σημαίνουσες οικογένειες κακόβουλων προγραμμάτων στη σύγχρονη ιστορία – το Mirai.
Ανακαλύφθηκε για πρώτη φορά το 2016, το Mirai κατασκευάστηκε για να σαρώνει το Διαδίκτυο για συσκευές Internet of Things (IoT) που εκτελούνται σε επεξεργαστές ARC, οι οποίοι λειτουργούν μια απογυμνωμένη έκδοση του Linux.
Οι εισβολείς απέκτησαν πρόσβαση σε αυτές τις συσκευές είτε εκμεταλλευόμενοι γνωστά ελαττώματα ασφαλείας είτε συνδέοντας με προεπιλεγμένα εργοστασιακά διαπιστευτήρια που οι περισσότεροι χρήστες δεν αλλάζουν ποτέ.
Αυτό που ξεκίνησε ως ένα εστιασμένο εργαλείο για την εκτόξευση επιθέσεων DDoS έχει από τότε εξελιχθεί σε ένα εκτεταμένο οικοσύστημα απειλής με εκατοντάδες ενεργές παραλλαγές που στοχεύουν τώρα εκατομμύρια συσκευές παγκοσμίως.
Η δημόσια κυκλοφορία του πηγαίου κώδικα του Mirai άνοιξε την πόρτα σε αμέτρητους παράγοντες απειλών να δημιουργήσουν τις δικές τους εκδόσεις.
Το Spamhaus κατέγραψε αύξηση 26% στους διακομιστές εντολών και ελέγχου botnet (C2) το πρώτο εξάμηνο του 2025, ακολουθούμενη από άλλη αύξηση 24% μεταξύ Ιουλίου και Δεκεμβρίου 2025.
Αυτή η αύξηση έχει ωθήσει τις Ηνωμένες Πολιτείες πέρα από την Κίνα ως τη χώρα που φιλοξενεί τους περισσότερους διακομιστές botnet C2, μια κατάταξη που κατείχε η Κίνα από το τρίτο τρίμηνο του 2023.
Η τεράστια κλίμακα αυτής της ανάπτυξης αντικατοπτρίζει πόσο ελεύθερα κυκλοφορεί η βάση κώδικα Mirai μεταξύ των εγκληματιών του κυβερνοχώρου και πόσο λίγη προσπάθεια χρειάζεται για να αναπτυχθεί μια νέα παραλλαγή.
.webp.jpeg)
Οι ερευνητές του Pulsedive εντόπισαν και παρακολούθησαν αρκετά ενεργά botnet που βασίζονται στο Miraiμε τους Aisuru και Kimwolf να αναδεικνύονται ως οι πιο καταστροφικοί.
Μαζί, αυτές οι δύο παραλλαγές – που συχνά αναφέρονται ως Aisuru-Kimwolf – έχουν συμβιβαστεί μεταξύ ενός και τεσσάρων εκατομμυρίων κεντρικών υπολογιστών σε όλο τον κόσμο.
Το Cloudflare τεκμηρίωσε ότι ο Aisuru-Kimwolf βρίσκεται πίσω από μερικές από τις μεγαλύτερες επιθέσεις DDoS που έχουν καταγραφεί ποτέ, συμπεριλαμβανομένης μιας πλημμύρας 31,4 terabit ανά δευτερόλεπτο και μιας επίθεσης 14,1 δισεκατομμυρίων πακέτων ανά δευτερόλεπτο.
Αυτοί οι αριθμοί υπερβαίνουν πολύ οτιδήποτε προηγούμενες παραλλαγές του Mirai θα μπορούσαν να παράγουν και υπογραμμίζουν πόσο επικίνδυνη έχει γίνει η επόμενη γενιά αυτών των botnet.
.webp.jpeg)
Οι χειριστές πίσω από την Aisuru-Kimwolf έχουν μετατρέψει την υποδομή τους σε εγκληματική επιχείρηση, πουλώντας πρόσβαση σε παραβιασμένες συσκευές μέσω πλατφορμών όπως το Discord και το Telegram.
Στις 19 Μαρτίου 2026, το Υπουργείο Δικαιοσύνης των Η.Π.Α. ανακοίνωσε ενέργειες διακοπής των διακομιστών C2 που υποστηρίζουν τα botnet Aisuru, KimWolf, JackSkid και Mossad, με εγκεκριμένες από το δικαστήριο ενέργειες που καλύπτουν τον Καναδά και τη Γερμανία.
Πέρα από τις επιθέσεις DDoS, τα botnets έχουν χρησιμοποιηθεί για κατάχρηση οικιακών δικτύων μεσολάβησης, δρομολογώντας την κίνηση επιθέσεων μέσω διευθύνσεων IP που ανήκουν σε απλούς ιδιοκτήτες σπιτιού, καθιστώντας τη δραστηριότητα πολύ πιο δύσκολο να εντοπιστεί. Παρά τις προσπάθειες κατάργησης, αυτά τα botnet συνεχίζουν να προσαρμόζονται και να βρίσκουν νέους τρόπους για να παραμείνουν λειτουργικά.
Μηχανισμός μόλυνσης του Kimwolf και αποφυγή υποδομών
Το Kimwolf είναι μια υποπαραλλαγή του Aisuru που εστιάζει στο Android και έχει σχεδιαστεί για να στοχεύει κινητές συσκευές και Smart TV.
Έχει μολύνει περίπου δύο εκατομμύρια συσκευές Android παγκοσμίως, αξιοποιώντας τις ίδιες δυνατότητες DDoS με το Aisuru, αλλά έχει τροποποιηθεί για να λειτουργεί σε συστήματα Android.
Μόλις φτάσει σε μια ευάλωτη συσκευή, το Kimwolf εκτελεί ένα σενάριο εγκατάστασης που πραγματοποιεί λήψη .apk αρχεία από διακομιστή ελεγχόμενο από εισβολείς. Το σενάριο κάνει κάθε αρχείο εκτελέσιμο και το εκτελεί με τη σειρά, στοχεύοντας διαφορετικές αρχιτεκτονικές CPU για να μολύνει όσο το δυνατόν περισσότερες συσκευές.
.webp.jpeg)
Αφού η Google και το Υπουργείο Δικαιοσύνης διέκοψαν την υποδομή διακομιστή μεσολάβησης IPIDEA που συνδέεται με την Kimwolf, εμφανίστηκαν αναφορές ότι το botnet είχε μεταφερθεί στο The Invisible Project (I2P), ένα αποκεντρωμένο, κρυπτογραφημένο δίκτυο επικοινωνιών που έχει σχεδιαστεί για την ανωνυμοποίηση της κυκλοφορίας.
Αυτή η μετατόπιση ήταν μια άμεση απάντηση στην πίεση κατάργησης — το I2P είναι πολύ πιο δύσκολο να παρακολουθηθεί ή να τερματιστεί από τη συμβατική υποδομή.
Η κίνηση υπογραμμίζει ένα σαφές μοτίβο: αυτοί οι χειριστές παρακολουθούν στενά τις ενέργειες επιβολής του νόμου και ανακατευθύνουν γρήγορα τις δραστηριότητές τους τη στιγμή που θα υπάρξει οποιαδήποτε διακοπή.
.webp.png)
Οι πάροχοι δικτύων προσφέρουν συχνά λύσεις προστασίας DDoS που μπορούν να ανιχνεύσουν και να αποκλείσουν την επισκεψιμότητα που βασίζεται σε bot, και οι οργανισμοί θα πρέπει να επωφεληθούν πλήρως από αυτές.
Τα προεπιλεγμένα διαπιστευτήρια σε όλο τον εξοπλισμό δικτύωσης πρέπει να αντικατασταθούν με ισχυρούς, μοναδικούς κωδικούς πρόσβασης κατά την αρχική εγκατάσταση και δεν πρέπει ποτέ να παραμένουν αμετάβλητοι.
