30 万节点 AISURU 僵尸网络发动创纪录的 11.5 Tbps DDoS 攻击

研究人员揭露了名为 “AISURU” 的分布式拒绝服务（DDoS）与代理僵尸网络，它曾在全球范围内制造出 创纪录的 11.5 Tbps 攻击流量。

AISURU 至少自 2024 年起就已活跃，并在 2025 年快速扩张，规模与能力大幅提升。目前估计已控制超过 30 万台受感染设备，这些设备主要通过路由器漏洞被攻陷。

该发现由 XLab 研究人员发布，报告基于内部遥测数据及一位熟悉 AISURU 威胁行为者的匿名线人提供的信息。

AISURU 最早于 2024 年 8 月被 XLab 识别，当时它曾攻击游戏《黑神话：悟空》的分发平台。自那以来，XLab 的网络威胁洞察与分析系统（CTIA）已捕获数千个 AISURU 样本。

关键的扩张发生在 2025 年 4 月：该组织一名成员入侵了 Totolink 路由器固件更新服务器，将固件请求重定向至恶意脚本（托管在 updatetoto[.]tw）。在 DNS 遥测中，这次感染活动清晰可见，该域名在一个月内飙升至 Tranco 排名 672,588，并导致新增超过 10 万台僵尸节点。

AISURU 由三名核心成员操控：

• Snow：僵尸网络开发者
• Tom：漏洞研究员与利用代码开发者
• Forky：负责变现与销售

他们因内部冲突和在载荷中夹带的“嘲讽”而臭名昭著，甚至在其他僵尸网络操作者中也颇受争议。其攻击包括多次创纪录的事件，例如 2025 年 5 月对记者 Brian Krebs 个人网站的 DDoS 攻击，以及 2025 年 9 月针对 IP 185.211.78.117 发动的 11.5 Tbps 超大规模攻击。

AISURU 主要瞄准 未打补丁的路由器与嵌入式系统，并持续利用 已知漏洞（N-day）和新发现的 0-day 漏洞。受影响厂商包括：

• Totolink（固件更新服务器被攻陷）
• Cambium Networks（cnPilot 路由器 0-day）
• Zyxel、D-Link、Linksys、T-Mobile、Realtek 等

受害者遍布多个行业和地区，据 XLab 报告，该僵尸网络每天攻击目标多达数百个，不分行业与地域。

技术细节

AISURU 使用 改良版 RC4 算法进行字符串解密和通信加密，硬编码密钥为 PJbiNbbeasddDfsc。技术分析显示其具备多层反分析机制，包括：

• 环境检测：规避虚拟化与分析环境；
• OOM Killer 规避：操纵 /proc/self/oom_score_adj；
• 进程伪装：伪装为系统进程，如 telnetd 或 klogd；
• 持久化与隐匿：通过保留 .so 库、重命名二进制文件等非常规方式实现；
• C2 通信：采用定制协议，支持 DDoS 攻击、命令执行、反弹 shell 与代理控制，基础设施使用混淆的 TXT 记录、XOR 编码及基于特定 IP 范围的 GRE 隧道。

DDoS、代理与新的盈利模式

AISURU 已从单纯的 DDoS 工具转型为多用途平台。最新版本增加了 代理模块，C2 指令显示其愈发重视住宅代理功能。通过调用 Speedtest 公共端点进行网速测试，僵尸网络可识别高带宽节点并优先用于代理业务。

这种转型符合地下市场的趋势：僵尸网络运营者不再仅依赖高调的 DDoS，而是多元化发展，代理节点被出租给需要低调基础设施的威胁行为者，用于欺诈、爬虫或命令执行。

防御措施

要防御类似 AISURU 的僵尸网络攻击，建议：

• 及时更新路由器固件至最新版本；
• 限制 WAN 访问；
• 修改默认管理员凭证；
• 关闭未使用的服务。