僵尸網絡的崛起與擴張

AISURU僵尸網絡最初由XLab在2024年披露，現已迅速成為DDoS領域最危險的威脅之一。僅2025年，該網絡就與多起破紀錄攻擊事件相關聯，包括被Cloudflare成功緩解的驚人11.5Tbps攻擊。這個最初專注于DDoS的僵尸網絡現已演變為多功能犯罪基礎設施，業務范圍擴展至住宅代理服務。

XLab研究人員指出："2025年以來，全球DDoS攻擊的峰值帶寬屢破歷史紀錄，從年初的3.12Tbps攀升至最近的11.5Tbps。在多起高影響或破紀錄的攻擊事件中，我們都發現名為AISURU的僵尸網絡在幕后運作。"

核心團隊與入侵手段

AISURU背后的組織由代號為Snow、Tom和Forky的三名運營者組成，他們通過利用消費級網絡設備漏洞聲名狼藉。2025年4月，Tom入侵了Totolink路由器固件更新服務器，劫持更新請求分發惡意軟件。XLab強調："此次入侵使AISURU規模迅速擴大，短時間內就控制了超過10萬臺設備。"

截至2025年年中，該僵尸網絡已增長至近30萬個活躍節點，其中多為分布在中國、美國、德國、英國的家庭路由器。

受害者地理分布

受害者地理分布 | 圖片來源：XLab

技術特征與對抗手段

AISURU運營團隊以張揚作風聞名，報告描述他們"行事高調，常以'娛樂'為由對ISP發動極具破壞性的攻擊"。該組織還與Rapperbot等競爭僵尸網絡爆發沖突，爭奪脆弱設備的控制權。AISURU樣本中甚至包含嘲諷競爭對手的加密信息："tHiS mOnTh At qiAnXin shitlab a NeW aisurU vErSiOn hIt oUr bOtMoN sYsTeM dOiNg tHe CHAaCha sLiDe"。

該僵尸網絡持續更新惡意軟件，采用先進加密、混淆和規避技術，最新版本具備：

• 改進的RC4算法用于通信加密
• 反虛擬機與反調試檢測（可識別Wireshark、VMware、VirtualBox等）
• 進程名稱欺騙（偽裝成telnetd、dhclient等良性Linux守護進程）
• 內存殺手規避技術以延長運行時間

這些措施使AISURU更難分析與清除，確保其在龐大設備池中的持久性。

商業模式轉型

雖然AISURU早期因大規模DDoS攻擊（包括2025年9月的11.5Tbps事件）聞名，但現已進軍代理服務領域。XLab指出："顯然，AISURU不再滿足于單一的DDoS商業模式，正利用其龐大節點池拓展代理服務實現變現。"

通過控制具有高帶寬的受感染路由器，AISURU運營者開始提供住宅代理服務——這項利潤豐厚的業務在匿名訪問和繞過地理限制方面需求旺盛。AISURU的規模和適應性展示了DDoS僵尸網絡與代理服務日益融合的趨勢。攻擊者不僅可租用AISURU發動破壞性流量攻擊，還能利用其基礎設施進行更隱蔽的操作，包括欺詐、憑據填充和網絡間諜活動。