Bộ Tư pháp Hoa Kỳ (DoJ) vào thứ Năm đã công bố việc vô hiệu hóa cơ sở hạ tầng command-and-control (C2) được sử dụng bởi một số botnet Internet of Things (IoT) như AISURU, Kimwolf, JackSkid và Mossad, trong khuôn khổ một chiến dịch thực thi pháp luật được tòa án cho phép.
Nỗ lực này cũng chứng kiến các nhà chức trách từ Canada và Đức nhắm mục tiêu vào những kẻ điều hành đằng sau các botnet này, với sự hỗ trợ điều tra từ một số công ty thuộc khu vực tư nhân, bao gồm Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B và QiAnXin XLab.
Bốn botnet này đã phát động các cuộc tấn công distributed denial-of-service (DDoS) nhắm vào các nạn nhân trên khắp thế giới,
DoJ cho biết. "Một số cuộc tấn công này có cường độ lên tới khoảng 30 Terabits mỗi giây, là những cuộc tấn công phá kỷ lục."
Trong một báo cáo vào tháng trước, Cloudflare đã quy AISURU/Kimwolf gây ra một cuộc tấn công DDoS khổng lồ 31,4 Tbps xảy ra vào tháng 11 năm 2025 và chỉ kéo dài 35 giây. Vào cuối năm ngoái, botnet này cũng được đánh giá là đã tham gia vào các cuộc tấn công DDoS có cường độ siêu lớn với kích thước trung bình là 3 tỷ gói mỗi giây (Bpps), 4 Tbps và 54 triệu yêu cầu mỗi giây (Mrps).
Nhà báo an ninh độc lập Brian Krebs cũng đã theo dõi quản trị viên của Kimwolf là Jacob Butler (hay còn gọi là Dort) 23 tuổi đến từ Ottawa, Canada. Butler nói với Krebs rằng anh ta đã không sử dụng nhân vật Dort kể từ năm 2021 và tuyên bố có người đang mạo danh anh ta sau khi tài khoản cũ của anh ta bị xâm phạm.
Butler cũng cho biết, "anh ấy chủ yếu ở nhà và giúp mẹ quanh nhà vì anh ấy gặp khó khăn với chứng tự kỷ và tương tác xã hội."
Theo Krebs, nghi phạm chính khác là một thiếu niên 15 tuổi sống ở Đức. Chưa có vụ bắt giữ nào được công bố.
Botnet này đã chiêu mộ hơn 2 triệu thiết bị Android vào mạng lưới của nó, hầu hết là các TV Android bị xâm nhập, không rõ thương hiệu. Tổng cộng, bốn botnet này ước tính đã lây nhiễm không dưới 3 triệu thiết bị trên toàn thế giới, chẳng hạn như đầu ghi video kỹ thuật số, webcam hoặc bộ định tuyến Wi-Fi, trong đó hàng trăm nghìn thiết bị nằm ở Hoa Kỳ.
Các botnet Kimwolf và JackSkid bị cáo buộc nhắm mục tiêu và lây nhiễm các thiết bị vốn được 'firewalled' theo truyền thống khỏi phần còn lại của internet. Các thiết bị bị nhiễm đã bị các nhà điều hành botnet biến thành nô lệ,
DoJ cho biết. "Sau đó, các nhà điều hành đã sử dụng mô hình 'cybercrime as a service' để bán quyền truy cập vào các thiết bị bị nhiễm cho các tội phạm mạng khác."
Các thiết bị bị nhiễm này sau đó được sử dụng để tiến hành các cuộc tấn công DDoS chống lại các mục tiêu quan tâm trên khắp thế giới. Các tài liệu của tòa án cáo buộc rằng bốn biến thể botnet Mirai đã ban hành hàng trăm nghìn lệnh tấn công DDoS:
- AISURU - >200.000 lệnh tấn công DDoS
- Kimwolf - >25.000 lệnh tấn công DDoS
- JackSkid - >90.000 lệnh tấn công DDoS
- Mossad - >1.000 lệnh tấn công DDoS
Kimwolf thể hiện một sự thay đổi cơ bản trong cách các botnet hoạt động và mở rộng quy mô. Không giống như các botnet truyền thống quét internet mở để tìm các thiết bị dễ bị tổn thương, Kimwolf đã khai thác một vector tấn công mới: mạng proxy dân cư,
Tom Scholl, Phó Chủ tịch/Kỹ sư Xuất sắc tại AWS, cho biết trong một bài đăng được chia sẻ trên LinkedIn.
Bằng cách xâm nhập vào mạng gia đình thông qua các thiết bị bị xâm nhập—bao gồm hộp TV trực tuyến và các thiết bị IoT khác—botnet đã giành quyền truy cập vào các mạng cục bộ vốn thường được bảo vệ khỏi các mối đe dọa bên ngoài bởi bộ định tuyến gia đình.
Akamai cho biết các botnet siêu cường độ đã tạo ra các cuộc tấn công vượt quá 30 Tbps, 14 tỷ gói mỗi giây và 300 Mrps, đồng thời cho biết thêm rằng tội phạm mạng đã tận dụng các botnet này để phát động hàng trăm nghìn cuộc tấn công và trong một số trường hợp, yêu cầu tiền chuộc từ nạn nhân.
Những cuộc tấn công này có thể làm tê liệt cơ sở hạ tầng internet cốt lõi, gây ra sự suy giảm dịch vụ đáng kể cho các ISP và khách hàng cấp dưới của họ, và thậm chí làm quá tải các dịch vụ giảm thiểu dựa trên đám mây có dung lượng cao,
công ty cơ sở hạ tầng web cho biết.
