Het Amerikaanse ministerie van Justitie (DoJ) heeft donderdag de verstoring aangekondigd van de command-and-control (C2)-infrastructuur die wordt gebruikt door verschillende Internet of Things (IoT)-botnets zoals AISURU, Kimwolf, JackSkid en Mossad als onderdeel van een door de rechtbank geautoriseerde wetshandhavingsoperatie.
Bij de inspanningen richtten autoriteiten uit Canada en Duitsland zich ook op de exploitanten achter deze botnets, waarbij een aantal bedrijven uit de particuliere sector, waaronder Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B en QiAnXin XLab assisteerden bij de onderzoeksinspanningen.
“De vier botnets lanceerden gedistribueerde denial-of-service (DDoS)-aanvallen gericht op slachtoffers over de hele wereld”, aldus het DoJ. “Sommige van deze aanvallen hadden een snelheid van ongeveer 30 terabit per seconde, wat recordbrekende aanvallen waren.”
In een rapport van vorige maand schreef Cloudflare AISURU/Kimwolf toe aan een enorme DDoS-aanval van 31,4 Tbps die plaatsvond in november 2025 en slechts 35 seconden duurde. Eind vorig jaar zou het botnet ook betrokken zijn geweest bij hypervolumetrische DDoS-aanvallen met een gemiddelde grootte van 3 miljard pakketten per seconde (Bpps), 4 Tbps en 54 miljoen verzoeken per seconde (Mrps).
Onafhankelijke veiligheidsjournalist Brian Krebs traceerde de beheerder van Kimwolf ook tot een 23-jarige Jacob Butler (ook bekend als Dort) uit Ottawa, Canada. Butler vertelde Krebs dat hij de Dort-persona sinds 2021 niet meer heeft gebruikt en beweerde dat iemand hem nabootst nadat hij zijn oude account had gecompromitteerd.
Butler zei ook: “hij blijft meestal thuis en helpt zijn moeder in het hele huis omdat hij worstelt met autisme en sociale interactie.” Volgens Krebs is de andere hoofdverdachte een 15-jarige die in Duitsland woont. Er zijn geen arrestaties aangekondigd.
Het botnet heeft meer dan twee miljoen Android-apparaten in zijn netwerk opgenomen, waarvan de meeste gecompromitteerde Android-tv’s van een ander merk zijn. In totaal hebben de vier botnets naar schatting maar liefst 3 miljoen apparaten wereldwijd geïnfecteerd, zoals digitale videorecorders, webcamera’s of wifi-routers, waarvan honderdduizenden zich in de VS bevinden.
“De Kimwolf- en JackSkid-botnets worden ervan beschuldigd apparaten te targeten en te infecteren die traditioneel ‘firewalled’ zijn van de rest van het internet. De geïnfecteerde apparaten werden tot slaaf gemaakt door de botnet-exploitanten”, aldus het DoJ. “De operators gebruikten vervolgens een ‘cybercrime as a service’-model om de toegang tot de geïnfecteerde apparaten aan andere cybercriminelen te verkopen.”
Deze geïnfecteerde apparaten werden vervolgens gebruikt om DDoS-aanvallen uit te voeren op interessante doelen over de hele wereld. Gerechtsdocumenten beweren dat de vier Mirai-botnetvarianten honderdduizenden DDoS-aanvalsopdrachten hebben uitgegeven –
- AISURU – >200.000 DDoS-aanvalsopdrachten
- Kimwolf – >25.000 DDoS-aanvalsopdrachten
- JackSkid – >90.000 DDoS-aanvalsopdrachten
- Mossad – >1.000 DDoS-aanvalsopdrachten
“Kimwolf vertegenwoordigde een fundamentele verandering in de manier waarop botnets werken en schalen. In tegenstelling tot traditionele botnets die het open internet scannen op kwetsbare apparaten, exploiteerde Kimwolf een nieuwe aanvalsvector: residentiële proxynetwerken”, zegt Tom Scholl, VP/Distinguished Engineer bij AWS, in een bericht gedeeld op LinkedIn.
“Door thuisnetwerken te infiltreren via gecompromitteerde apparaten – waaronder streaming tv-boxen en andere IoT-apparaten – kreeg het botnet toegang tot lokale netwerken die doorgaans door thuisrouters worden beschermd tegen externe bedreigingen.”
Akamai zei dat de hypervolumetrische botnets aanvallen genereerden van meer dan 30 Tbps, 14 miljard pakketten per seconde en 300 Mps, en voegde eraan toe dat cybercriminelen deze botnets gebruikten om honderdduizenden aanvallen uit te voeren en in sommige gevallen afpersingsbetalingen van slachtoffers te eisen.
“Deze aanvallen kunnen de kerninfrastructuur van het internet verlammen, een aanzienlijke verslechtering van de dienstverlening voor ISP’s en hun downstream-klanten veroorzaken en zelfs cloudgebaseerde mitigatiediensten met hoge capaciteit overweldigen”, aldus het webinfrastructuurbedrijf.
