Zusammenfassung
Die DDoS-Bedrohungslandschaft hat sich im 3. Quartal 2025 grundlegend verändert. Ein vom Mirai abgeleitetes Botnet namens Aisuru – wegen seiner verbesserten Angriffsgenerierung als 'TurboMirai' klassifiziert – führte den größten jemals aufgezeichneten volumetrischen DDoS-Angriff aus: 29,7 Terabit pro Sekunde über 69 Sekunden, mit Spitzenwerten von 14,1 Milliarden Paketen pro Sekunde. Diese Zahlen sind keine theoretischen Projektionen, sondern beobachtete, gemessene und in Produktionsumgebungen abgewehrte Angriffe.
Besonders besorgniserregend an Aisuru ist seine Effizienz. Klassische Botnets benötigten enorme Gerätezahlen, um nennenswerten Datenverkehr zu erzeugen. Die TurboMirai-Architektur von Aisuru verändert diese Gleichung drastisch und ermöglicht Terabit-Angriffe aus geschätzt 1 bis 4 Millionen kompromittierten IoT-Geräten – ein Bruchteil dessen, was ältere Botnets für vergleichbare Leistung benötigt hätten. Dieser Effizienzgewinn stellt einen strukturellen Wandel im Bedrohungsmodell dar, den Sicherheitsteams berücksichtigen müssen.
Diese Analyse bietet eine umfassende Untersuchung der technischen Architektur, Infektionsvektoren und Angriffsmethodik von Aisuru. Vor allem aber skizziert sie die Verteidigungsstrategien, die zum Schutz von Unternehmensinfrastrukturen gegen Angriffe erforderlich sind, die in weniger als einer Minute ablaufen und keinerlei Zeit für manuelles Eingreifen lassen. Das Zeitalter der unter einer Minute dauernden Multi-Terabit-Angriffe hat begonnen.
Wichtigste Erkenntnisse
Größter jemals aufgezeichneter DDoS-Angriff, in Q3 2025 von Cloudflare abgewehrt
Cloudflare Q3 2025 DDoS Threat ReportGeschätzte Zahl weltweit kompromittierter IoT-Geräte im Aisuru-Botnet
NETSCOUT ASERT Threat SummaryMilliarden Pakete pro Sekunde – höchste je gemessene Paketrate eines Angriffs
CloudflareTypische Dauer eines Aisuru-Angriffs – erfordert Mitigation im Sub-Sekunden-Bereich
CloudflareÜberblick über die Bedrohung
Aisuru trat im August 2024 als relativ unbekanntes Botnet in Erscheinung, entwickelte sich aber rasch zu dem, was Sicherheitsforscher heute als 'Apex der Botnets' bezeichnen. Das Verständnis seiner Merkmale ist entscheidend für eine wirksame Verteidigung:
TurboMirai-Klassifizierung
Optimierte Mirai-Variante mit gesteigerter Erzeugung von Angriffsverkehr pro Knoten – ermöglicht Terabit-Angriffe aus kleineren Geräte-Pools als bei klassischen Botnets.
IoT-basierte Infrastruktur
Kompromittierte Consumer-Router (Totolink, Zyxel, D-Link, Linksys), Überwachungskameras, DVR-Systeme und weitere CPE-Geräte bilden das Angriffsnetzwerk.
UDP Carpet-Bombing
Charakteristische Angriffsmethode mit rund 15.000 Zielports pro Sekunde und pseudo-randomisierten Paketattributen, um klassische Abwehrmechanismen zu umgehen.
Integration in Residential Proxies
Doppelnutzung als DDoS-Plattform und als Residential-Proxy-Netzwerk – ermöglicht die Anonymisierung von Datenverkehr für weitere cyberkriminelle Aktivitäten.
DDoS-for-Hire-Modell
Kommerzieller Botnet-Mietservice mit Abo-Stufen von 150 USD/Tag bis 600 USD/Woche – demokratisiert den Zugang zu Angriffsfähigkeiten im Terabit-Bereich.
Fokus auf den Gaming-Sektor
Primäre Ziele sind Online-Gaming-Plattformen; das kommerzielle Modell macht jedoch jede Branche zu einem potenziellen Ziel.
Laut Threat-Intelligence-Quellen wird die Aisuru-Operation von drei zentralen Akteuren mit den Codenamen Snow, Tom und Forky geleitet. Diese Gruppe arbeitete zuvor am catddos-Botnet zusammen, bevor sie das Aisuru-Team gründete. Die Betreiber haben sich in Untergrund-Communities einen umstrittenen Ruf erarbeitet – etwa durch erratisches Verhalten wie das Angreifen unbeteiligter Unternehmen oder das Starten zerstörerischer ISP-Angriffe 'nur zum Spaß'. Bemerkenswert ist, dass sie Berichten zufolge Regierungs-, Strafverfolgungs-, Militär- und Sicherheitsziele meiden – was auf operatives Sicherheitsbewusstsein und mögliche jurisdiktionelle Überlegungen hindeutet.
Infektionsvektoren & Verbreitung
Die Wachstumskurve von Aisuru zeigt, wie moderne Botnets durch opportunistische Ausnutzung rasch skalieren. Die Betreiber kombinieren klassische IoT-Kompromittierungstechniken – Telnet-Credential-Missbrauch und CVE-Ausnutzung – mit raffinierteren Supply-Chain-Angriffen. Dieser mehrgleisige Ansatz sichert die kontinuierliche Rekrutierung neuer Geräte, selbst wenn Verteidiger infizierte Systeme erkennen und bereinigen.
Der Totolink-Supply-Chain-Vorfall im April 2025 markierte einen Wendepunkt. Durch das Eindringen in den Firmware-Update-Server und das Anpassen der Upgrade-URL auf eine bösartige Payload verwandelten die Angreifer ein routinemäßiges Sicherheitsupdate in einen Infektionsvektor. Jeder Totolink-Router, der ein Standard-Firmware-Update durchführte, wurde unwissentlich Teil des Botnets. Innerhalb weniger Wochen brachte dieser einzige Angriffsvektor über 100.000 neue Knoten in die Aisuru-Infrastruktur.
Die Betreiber pflegen ihren Gerätebestand durch aktive Schwachstellenforschung und schnelle Integration neuer Exploits. Sobald neue CVEs offengelegt werden – insbesondere bei Consumer-Routern, IP-Kameras und DVR-Systemen – werden sie von den Aisuru-Betreibern zügig waffentechnisch nutzbar gemacht. Dieses Operationstempo sorgt dafür, dass das Botnet seine Infrastruktur kontinuierlich erneuert und bereinigte Geräte durch neu kompromittierte ersetzt.
Ausgenutzte Schwachstellen
| CVE / Exploit | Betroffene Geräte | CVSS | Beschreibung |
|---|---|---|---|
| CVE-2023-28771 | Zyxel ZyWALL, USG, VPN, ATP Series | 9.8 Kritisch | Fehlerhafte Verarbeitung von Fehlermeldungen ermöglicht nicht authentifizierte Remote-Code-Ausführung |
| CVE-2023-50381 | Realtek Jungle SDK | Hoch | Command-Injection-Schwachstelle, die zahlreiche Router-OEMs betrifft |
| CVE-2013-1599 | D-Link DCS-3411 | Hoch | Remote-Code-Ausführung über cmd.cgi in IP-Kameras |
| CVE-2017-5259 | Cambium cnPilot | Hoch | Authentifizierungs-Bypass in Wireless Access Points |
| Supply Chain | Totolink-Router | N/A | Kompromittierter Firmware-Update-Server verteilt bösartige Payloads |
| Telnet-Missbrauch | Mehrere Hersteller | N/A | Ausnutzung von Standard-Zugangsdaten in Consumer-IoT-Geräten |
| AMTK Camera RCE | A-MTK-Kameras | Hoch | Remote-Code-Ausführung über cmd.cgi-Endpunkt |
Kategorien kompromittierter Geräte
Die Knoten des Aisuru-Botnets umfassen mehrere Kategorien von Consumer- und Small-Business-Netzwerkgeräten:
Consumer-Router
Totolink, T-Mobile, Zyxel, D-Link, Linksys, Nexxt – überwiegend Breitband-Zugangsrouter mit veralteter Firmware.
IP-Kameras & DVRs
A-MTK, D-Link DCS, LILIN, UNIMO, TBK, Shenzhen TVT – Überwachungssysteme mit Netzwerkanbindung.
Weitere CPE-Geräte
Verschiedene OEM-Firmware-Varianten, die gemeinsame, anfällige Codebasen über unterschiedliche Markenprodukte hinweg teilen.
Angriffsmethodik
Die Klassifizierung als 'TurboMirai' beschreibt eine grundlegende architektonische Verbesserung der Angriffseffizienz. Klassische Mirai-Varianten erzeugten Traffic linear proportional zur Geräteanzahl – mehr Knoten bedeuteten mehr Bandbreite. Die Optimierungen von Aisuru verändern dieses Verhältnis und extrahieren deutlich mehr Angriffsverkehr aus jedem kompromittierten Gerät. Das Ergebnis sind Terabit-Fähigkeiten aus einem Botnet, das unter der ursprünglichen Mirai-Codebasis nur Gigabit-Angriffe geliefert hätte.
Aisuru setzt ausschließlich auf Direct-Path-Flooding. Anders als Amplifikationsangriffe, die fehlkonfigurierte DNS-, NTP- oder Memcached-Server zur Vervielfachung des Traffic-Volumens missbrauchen, gehen Direct-Path-Angriffe direkt von den Botnet-Knoten aus. Das vereinfacht die Quellzuordnung – Verteidiger können angreifende IPs identifizieren – erschwert jedoch die Mitigation, da legitimer Traffic aus Residential-IP-Bereichen nicht pauschal blockiert werden kann, ohne Kollateralschäden zu verursachen.
Das charakteristische Angriffsmuster ist UDP Carpet-Bombing. Statt Traffic auf bestimmte Ports zu konzentrieren, verteilt Aisuru Pakete pro Sekunde über rund 15.000 Zielports, wobei Quellports und TCP-Flags randomisiert werden. Damit werden klassische Filterregeln, die auf Port- oder Protokollmustern beruhen, ausgehebelt. Wirksame Abwehr erfordert eine Verhaltensanalyse, die das Carpet-Bombing-Muster trotz der bewusst randomisierten Paketattribute erkennen kann.
Angriffsmerkmale
| Merkmal | Spezifikation | Verteidigungsrelevanz |
|---|---|---|
| Paketgröße | 540–750 Byte (mittel) | Optimiert für Bandbreitensättigung, ohne Small-Packet-Filter auszulösen |
| Port-Adressierung | ca. 15.000 Ports/Sekunde | Carpet-Bombing umgeht portbasierte Filterung |
| Quellports | Pseudo-randomisiert | Verhindert einfache Quellport-Filterregeln |
| TCP-Flags | Randomisierte Kombinationen | Umgeht Erkennungssignaturen, die auf TCP-Flags beruhen |
| Angriffsdauer | Typisch 30–69 Sekunden | Kurze Bursts erfordern Erkennung und Mitigation im Sub-Sekunden-Bereich |
| Spitzenvolumen | 1+ Tbps routinemäßig, maximal 29,7 Tbps | Erfordert massive Mitigationskapazität |
| Vektoren | Single-Vector-Direct-Path | Keine Amplifikation – Traffic stammt direkt aus Botnet-Knoten |
Angriffschronologie 2025
Aisuru-Angriffe können so verheerend sein, dass sie Internet Service Provider selbst dann beeinträchtigen, wenn diese nicht direkt das Ziel sind. Angriffe mit mehr als 1,5 Tbps haben kollaterale Störungen bei Breitband-Anbietern verursacht, deren Kundengeräte Teil des Botnets sind. Der Angriff auf eine Gaming-Plattform im Oktober 2025 beeinträchtigte vorübergehend große US-ISPs wie AT&T, Comcast, Verizon, T-Mobile und Charter – nicht als Ziele, sondern als Transporteure der massiven Schadverkehrsströme infizierter Kundengeräte in ihren Netzen.
Doppelnutzungs-Geschäftsmodell: DDoS + Residential Proxy
DDoS-for-Hire generiert nur während aktiver Angriffe Umsatz. Um diese Einschränkung zu überwinden, haben die Aisuru-Betreiber Ende 2025 ihr Angebot um Residential-Proxy-Dienste erweitert – ein Geschäftsmodell, das die Botnet-Infrastruktur kontinuierlich monetarisiert. Kompromittierte Heimrouter erfüllen nun einen doppelten Zweck: Angriffsplattformen während DDoS-Kampagnen und Anonymisierungsknoten für Proxy-Kunden zwischen den Kampagnen.
Der Proxy-Dienst spricht eine andere Kundengruppe mit anderen Anwendungsfällen an. Kunden zahlen dafür, ihren Traffic über Residential-IP-Adressen zu leiten und so den Anschein legitimer Heimnutzer zu erwecken. Diese Anonymisierung ermöglicht Credential-Stuffing-Angriffe, die Rate-Limiting umgehen, Web Scraping, das die Bot-Erkennung austrickst, Spam-Kampagnen, die IP-Reputations-Blacklists umgehen, sowie Phishing-Infrastrukturen, die aus Consumer-Netzen zu stammen scheinen. Derselbe infizierte Router, der an einem Multi-Terabit-DDoS-Angriff teilnimmt, kann Stunden später betrügerische Anmeldeversuche weiterleiten.
Sicherheitsforscher haben die Überschneidung bestätigt. IP-Adressen in kommerziellen Residential-Proxy-Pools stimmen mit bekannten Command-and-Control-Kommunikationen des Aisuru-Botnets überein. Diese Konvergenz schafft eine widerstandsfähigere Bedrohung: Selbst wenn die Nachfrage nach DDoS-for-Hire zurückgeht, rechtfertigt der Proxy-Umsatz die fortlaufende Pflege und Erweiterung des Botnets. Die Betreiber haben ein nachhaltiges kriminelles Geschäft mit mehreren Einnahmequellen aufgebaut, das dieselbe kompromittierte Infrastruktur nutzt.
Technische Weiterentwicklung (März 2025)
Im März 2025 veröffentlichten die Aisuru-Betreiber bedeutende technische Updates der Botnet-Malware, was die laufenden Entwicklungsinvestitionen verdeutlicht:
Erweiterte Verschlüsselung
Version 1: ECDH-P256-Schlüsselaustausch mit ChaCha20-Verschlüsselung für C2-Kommunikation. DNS-TXT-Decoding auf base64+XOR geändert.
Vereinfachtes Protokoll
Version 2: ECDH-P256-Schlüsselaustausch zugunsten der Performance entfernt. Modifiziertes xxhash zur Integritätsprüfung.
Anti-Analyse-Maßnahmen
Erkennung von Wireshark-, VMware- und VirtualBox-Umgebungen. Prozessnamen-Spoofing zur Tarnung als telnetd oder dhclient.
Persistenztechniken
Umgehung des Out-of-Memory Killers zur Verlängerung der Laufzeit. Modifiziertes RC4 zur Entschlüsselung von Sample-Strings.
Auswirkungsbewertung nach Branche
| Branche | Angriffshäufigkeit | Typische Auswirkungen | Risikostufe |
|---|---|---|---|
| Online-Gaming | Sehr hoch (Primärziel) | Dienstausfälle, Spielerabwanderung, Umsatzverluste | Kritisch |
| Cloud-Service-Provider | Hoch | Multi-Tenant-Störungen, SLA-Verletzungen | Kritisch |
| Internet Service Provider | Hoch (kollateral) | Netzwerküberlastung, Kundenbeschwerden | Hoch |
| Finanzdienstleister | Mittel | Transaktionsausfälle, regulatorische Prüfungen | Kritisch |
| E-Commerce | Mittel | Checkout-Fehler, Warenkorbabbrüche | Hoch |
| Gesundheitswesen | Gering (gemieden) | Begrenzte Adressierung aufgrund von Betreiberrichtlinien | Mittel |
| Behörden | Sehr gering (gemieden) | Betreiber meiden diese Ziele Berichten zufolge | Niedrig |
Mitigationsstrategien für Unternehmen
Die Verteidigung gegen Angriffe der Aisuru-Klasse erfordert einen grundlegenden Wandel von reaktiver zu proaktiver, automatisierter Abwehr. Klassische On-Demand-DDoS-Mitigationsdienste, die manuell aktiviert werden müssen, sind unzureichend – Angriffe laufen in weniger als einer Minute ab und lassen keine Zeit für menschliches Eingreifen.
Always-on-Schutz automatisiert bereitstellen
Implementieren Sie automatisierte DDoS-Mitigation, die innerhalb von Sekunden – nicht Minuten – erkennt und reagiert. Wenn Ihr Unternehmen nicht in Sekunden erkennen und mitigieren kann, führt ein Angriff der Aisuru-Klasse zu einem Ausfall.
Ausreichende Mitigationskapazität sicherstellen
Stellen Sie sicher, dass Ihr DDoS-Schutz Multi-Terabit-Angriffe bewältigen kann. Veraltete Lösungen für den Gigabit-Bereich sind gegen die routinemäßigen 1+-Tbps-Angriffe von Aisuru unzureichend.
Alle Netzwerkränder instrumentieren
Setzen Sie Erkennung und Mitigation an allen Netzwerkrändern ein – einschließlich Kundenaggregationspunkten und Peering-Verbindungen. Aktivieren Sie sowohl eingehende als auch ausgehende bzw. quer-laufende DDoS-Erkennung.
Rate-Limiting und Verhaltensanalyse implementieren
Konfigurieren Sie Rate-Limiting, Geo-Fencing und Verhaltensanalysen. Die pseudo-randomisierten Attribute von Aisuru erfordern Verhaltensanalysen statt signaturbasierter Filterung.
IoT-Geräte im eigenen Netzwerk absichern
Auditieren und patchen Sie alle IoT-Geräte. Deaktivieren Sie unnötige Dienste, ändern Sie Standardzugangsdaten und segmentieren Sie IoT-Geräte von kritischer Infrastruktur.
Outbound-Angriffserkennung aktivieren
Erkennen Sie, ob Geräte in Ihrem Netzwerk an Aisuru-Angriffen beteiligt sind. Traceback und Korrelation mit Teilnehmerinformationen ermöglichen die Identifikation und Bereinigung kompromittierter Geräte.
Kritische Anforderungen an die Verteidigung
Basierend auf den beobachteten Merkmalen von Aisuru-Angriffen erfordert eine wirksame Unternehmensverteidigung Folgendes:
Erkennung im Sub-Sekunden-Bereich
Verhaltensbasierte Anomalieerkennung, die Angriffsmuster innerhalb von Millisekunden nach Eintreffen der ersten Schadpakete identifiziert.
Hardware-Beschleunigung
Paketverarbeitung und -filterung auf Leitungsgeschwindigkeit ohne Leistungsverlust unter Multi-Terabit-Angriffslast.
Mehrschichtiger Schutz
Koordinierte L3/L4-Volumetrik-Filterung mit L7-Anwendungsanalyse für umfassende Abdeckung.
Verteilte Mitigation
Geografisch verteilte Scrubbing-Kapazität, um Angriffe nahe an ihren Quellen abzufangen.
Verhaltensanalyse
Mustererkennung, die die Carpet-Bombing-Technik von Aisuru trotz randomisierter Attribute erkennt.
Automatische Eskalation
Gestufte Reaktion, die die Mitigationsintensität je nach Angriffsschwere ohne manuelles Eingreifen skaliert.
Wie TR7 vor Bedrohungen der Aisuru-Klasse schützt
Die DDoS-Schutzplattform von TR7 ist darauf ausgelegt, die nächste Generation volumetrischer Angriffe abzuwehren:
Sofortige Erkennung & Mitigation
Verhaltensbasierte Mustererkennung identifiziert Angriffsmuster innerhalb von Millisekunden und aktiviert Mitigation in unter 3 Sekunden – entscheidend für 69-sekündige Aisuru-Angriffe.
Hardware-beschleunigte Filterung
Paketverarbeitung auf Leitungsgeschwindigkeit bewältigt Multi-Terabit-Traffic ohne Leistungseinbußen oder Auswirkungen auf den Dienst.
Verhaltensbasierte Mustererkennung
Erweiterte Analysen erkennen Carpet-Bombing und pseudo-randomisierte Angriffsmuster, die signaturbasierte Abwehrmechanismen umgehen.
Adaptive Schwellenwerte
Organisationsspezifische Baselines mit dynamischer Schwellenwertanpassung basierend auf Echtzeit-Verkehrsbedingungen und Bedrohungslage.
Mehrschichtige Verteidigung
Koordinierte L4-Volumetrik-Filterung und L7-Anwendungsschutz stoppen Angriffe so früh wie möglich.
Dienstisolation
Hardware- und Software-Isolation stellt sicher, dass Angriffe auf einen Dienst andere nicht beeinträchtigen, und verhindert so Kollateralschäden.
Sicherheitsexperten betonen, dass die Abwehr von Botnets der Aisuru-Klasse eine ökosystemweite Zusammenarbeit erfordert. Inter-ASN-FlowSpec-Implementierungen, Outbound-Traffic-Monitoring und koordinierte Takedown-Maßnahmen bieten anbieterneutrale Ansätze zur Eindämmung der IoT-Botnet-Bedrohung. Die Lösungen existieren – sie funktionieren jedoch nur, wenn sie ökosystemweit eingesetzt werden. Individuelle Unternehmensverteidigung ist notwendig, aber nicht ausreichend; die Telekommunikations- und ISP-Community muss bei der Validierung von Quelladressen, der Bereinigung kompromittierter Geräte und der Zerschlagung von Botnet-Infrastrukturen zusammenarbeiten.
Indicators of Compromise (IOC)-Ressourcen
Die Integration von Threat Intelligence ist für die proaktive Abwehr von Aisuru unverzichtbar. Mehrere Forschungsorganisationen pflegen IOC-Sammlungen mit Malware-Hashes, Command-and-Control-Infrastruktur und bekannten IP-Adressen von Botnet-Knoten. Diese Indikatoren sollten in Firewalls, SIEM-Plattformen und Netzwerk-Monitoring-Tools eingespielt werden, um Aisuru-bezogene Aktivitäten in Ihrem Netzwerk frühzeitig zu erkennen.
Zu den maßgeblichen IOC-Quellen gehören die technische Analyse von QiAnXin XLab, die Malware-Samples und C2-Server-Adressen dokumentiert, die Aisuru-bezogenen Datei-Hash-Sammlungen von VirusTotal sowie die vom Center for Internet Security geprüften IP-Blocklisten. Organisationen mit Threat-Intelligence-Plattformen können diese Feeds automatisiert kontinuierlich einlesen. Bei manueller Integration sind regelmäßige Updates erforderlich, da sich das Botnet weiterentwickelt.
Die IOC-basierte Erkennung hat gegen Aisuru jedoch inhärente Grenzen. Die Malware-Updates von März 2025 verdeutlichten das Engagement der Betreiber, statische Erkennung zu umgehen – neue Verschlüsselungsschemata, modifizierte Hashes und rotierte Infrastruktur entwerten bestehende Indikatoren. IOCs sind wertvoll, um bekannte Bedrohungen zu identifizieren, reichen aber als primäre Verteidigung nicht aus. Verhaltensbasierte Erkennung, die die Angriffsmuster von Aisuru erkennt, bleibt der zuverlässigere Ansatz.
Häufig gestellte Fragen
Aisuru ist ein IoT-Botnet der TurboMirai-Klasse mit 1 bis 4 Millionen infizierten Geräten, vor allem Consumer-Routern, Überwachungskameras und DVR-Systemen. Es wurde erstmals im August 2024 identifiziert und ist mittlerweile für die größten jemals aufgezeichneten DDoS-Angriffe verantwortlich, mit Spitzenwerten von 29,7 Tbps und 14,1 Milliarden Paketen pro Sekunde.
Aisuru wuchs rasant durch einen Supply-Chain-Angriff im April 2025, bei dem die Betreiber den Firmware-Update-Server der Totolink-Router kompromittierten. Jeder Router, der ein Update ausführte, lud Schadcode herunter, sodass das Botnet innerhalb weniger Wochen 100.000 Geräte überschritt. In Kombination mit der Ausnutzung bekannter CVEs in Geräten von Zyxel, D-Link und weiteren Consumer-Herstellern wuchs das Botnet auf Millionen Knoten.
Aisuru setzt vor allem direkte UDP-, TCP- und GRE-Paketfluten mit mittelgroßen Paketen (540–750 Byte) ein. Die charakteristische Technik ist 'UDP Carpet-Bombing', das pro Sekunde rund 15.000 Zielports mit pseudo-randomisierten Attributen anvisiert. Das Botnet verfügt zudem über HTTP-Anwendungsschicht-DDoS-Fähigkeiten und Residential-Proxy-Dienste zur Anonymisierung des Datenverkehrs.
Die Verteidigung gegen Aisuru erfordert automatisierten, immer aktiven DDoS-Schutz mit Erkennung und Mitigation im Sub-Sekunden-Bereich. Zu den wichtigsten Maßnahmen zählen hardwarebeschleunigte Mitigation, umfassender Schutz an den Netzwerkrändern mit Outbound-Erkennung, Nutzung von Threat Intelligence für proaktives Blockieren sowie die Sicherstellung, dass IoT-Geräte im Netzwerk gepatcht und korrekt abgesichert sind.
Die Aisuru-Betreiber zielen vor allem auf Online-Gaming-Plattformen ab; die meisten beobachteten Angriffe stehen im Zusammenhang mit dem Gaming-Sektor. Da das Botnet jedoch als DDoS-for-Hire-Dienst betrieben wird, kann grundsätzlich jede Branche zum Ziel werden. Auch Finanzdienstleister, Cloud-Anbieter und ISPs wurden bereits massiv angegriffen. Bemerkenswert ist, dass die Betreiber Berichten zufolge Regierungs-, Strafverfolgungs- und Militärziele meiden.
Aisuru-Angriffe sind anspruchsvoll, weil sie in weniger als einer Minute (typischerweise 30–69 Sekunden) ablaufen, massive Mitigationskapazitäten erfordern (routinemäßig 1+ Tbps), pseudo-randomisierte Attribute verwenden, die signaturbasierte Erkennung umgehen, und kollateralen Schaden bei ISPs verursachen können, selbst wenn diese nicht direkt das Ziel sind. Klassische On-Demand-Mitigationsdienste mit manueller Aktivierung sind unzureichend.
Fazit
Aisuru hat neu definiert, wie DDoS-Angriffe aussehen. Die vorige Generation volumetrischer Bedrohungen wurde in Gigabit pro Sekunde gemessen; Aisuru operiert routinemäßig im Terabit-Bereich. Die vorige Generation dauerte Minuten bis Stunden; Aisuru ist in unter 69 Sekunden abgeschlossen. Die vorige Generation gab Verteidigern Zeit zu reagieren; Aisuru nicht. Das sind keine inkrementellen Verbesserungen – es ist ein struktureller Wandel der Bedrohungslandschaft, der reaktive Abwehrmechanismen obsolet macht.
Das Geschäftsmodell sorgt für Beständigkeit. Supply-Chain-Kompromittierungen ermöglichen effiziente Gerätekrekrutierung. CVE-Ausnutzung erhält den Gerätebestand, während alte Infektionen bereinigt werden. Residential-Proxy-Dienste generieren kontinuierliche Einnahmen zwischen Angriffen. Die Malware-Updates von März 2025 zeigen professionelle Entwicklungspraxis. Dies ist kein opportunistisches kriminelles Vorhaben – es ist ein organisiertes Unternehmen mit tragfähiger Ökonomie und langfristigen Infrastrukturinvestitionen.
Für Organisationen, die ihre DDoS-Bereitschaft prüfen, lautet die Frage klar: Kann Ihre Verteidigung einen Terabit-Angriff binnen Sekunden erkennen und abwehren? Falls nicht, führt ein Angriff der Aisuru-Klasse zu einem Ausfall. Die Lösung erfordert automatisierten, immer aktiven Schutz mit ausreichender Kapazität, Verhaltenserkennung, die Carpet-Bombing-Muster identifizieren kann, sowie – für eine vollständige Verteidigungshaltung – die Erkennung kompromittierter IoT-Geräte, die an ausgehenden Angriffen teilnehmen. Die Bedrohung hat sich weiterentwickelt. Die Verteidigung muss es ihr gleichtun.
Referenzen & Quellen
Primärquelle für Angriffsstatistiken, einschließlich des Rekordangriffs von 29,7 Tbps, der Paketrate von 14,1 Bpps und der Mitigationsdaten für Q3 2025. Verfügbar unter: https://blog.cloudflare.com/ddos-threat-report-2025-q3/
Technische Analyse von Aisuru und TurboMirai-Botnets, einschließlich Angriffsmethodik, kompromittierter Gerätetypen und Mitigationsempfehlungen. Verfügbar unter: https://www.netscout.com/blog/asert/asert-threat-summary-aisuru-and-related-turbomirai-botnet-ddos
Detaillierte technische Analyse der Aisuru-Malware, einschließlich Verschlüsselungs-Updates, Infektionsvektoren und Betreiberzuordnung. Verfügbar unter: https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru-en/
Berichterstattung über die Entwicklung von Aisuru vom DDoS-fokussierten Botnet zum Residential-Proxy-Dienstleister. Verfügbar unter: https://krebsonsecurity.com/2025/10/aisuru-botnet-shifts-from-ddos-to-residential-proxies/
Dokumentation des 15,72-Tbps-Angriffs gegen die Azure-Infrastruktur im Oktober 2025. Verfügbar unter: https://techcommunity.microsoft.com/blog/azureinfrastructureblog/defending-the-cloud-azure-neutralized-a-record-breaking-15-tbps-ddos-attack/
Nachrichtenberichte und technische Zusammenfassungen zu Aisuru-Angriffsvorfällen. Verfügbar unter: https://thehackernews.com/2025/12/record-297-tbps-ddos-attack-linked-to.html
Schutz vor DDoS-Angriffen im Terabit-Bereich
Die DDoS-Schutzplattform von TR7 bietet automatisierte Erkennung und Mitigation im Sub-Sekunden-Bereich gegen Bedrohungen der Aisuru-Klasse. Mit hardwarebeschleunigter Filterung und adaptiver Verhaltensanalyse schützen Sie Ihre Infrastruktur vor der nächsten Generation volumetrischer Angriffe.
DDoS-Schutz entdecken