Het Amerikaanse ministerie van Justitie (DoJ) heeft onlangs de command-and-control (C2) infrastructuur verstoord van meerdere Internet of Things (IoT) botnets, waaronder AISURU, Kimwolf, JackSkid en Mossad. Deze actie vond plaats binnen een gerechtelijk goedgekeurde operatie waarbij ook autoriteiten uit Canada en Duitsland betrokken waren. Diverse private partijen zoals Akamai, Amazon Web Services, Cloudflare, Google en anderen ondersteunden het onderzoek.

De vier botnets voerden wereldwijd gedistribueerde denial-of-service (DDoS) aanvallen uit, waarvan sommige aanvallen een piek bereikten van ongeveer 30 Terabit per seconde, een recordhoogte. Cloudflare rapporteerde vorige maand dat AISURU/Kimwolf verantwoordelijk was voor een enorme DDoS-aanval van 31,4 Tbps in november 2025, die slechts 35 seconden duurde. Eind vorig jaar werden deze botnets ook ingezet voor hyper-volumetrische DDoS-aanvallen met gemiddeld 3 miljard pakketten per seconde, 4 Tbps en 54 miljoen verzoeken per seconde.

Onderzoek door securityjournalist Brian Krebs leidde naar de vermoedelijke beheerder van Kimwolf, een 23-jarige man uit Ottawa, Canada, die beweert dat zijn oude account is gehackt en dat iemand zich als hem voordoet. Daarnaast is er een 15-jarige verdachte uit Duitsland geïdentificeerd. Tot op heden zijn er geen arrestaties verricht. De botnets hebben wereldwijd naar schatting minstens 3 miljoen apparaten geïnfecteerd, waaronder digitale videorecorders, webcams en Wi-Fi-routers, waarvan honderden duizenden in de Verenigde Staten.

Volgens het DoJ richtten Kimwolf en JackSkid zich op apparaten die normaal gesproken door firewalls van het internet worden afgeschermd. Deze apparaten werden gekaapt en via een 'cybercrime as a service'-model door de botnetbeheerders verhuurd aan andere cybercriminelen. De geïnfecteerde apparaten werden vervolgens gebruikt voor grootschalige DDoS-aanvallen op diverse doelwitten wereldwijd. De vier Mirai-variant botnets gaven gezamenlijk honderdduizenden DDoS-aanvalcommando’s uit, waarbij AISURU meer dan 200.000 commando’s gaf.

Tom Scholl, VP en Distinguished Engineer bij AWS, lichtte toe dat Kimwolf een fundamentele verandering in botnetoperaties betekent. In tegenstelling tot traditionele botnets die het open internet scannen op kwetsbare apparaten, maakte Kimwolf gebruik van een nieuwe aanvalsmethode via residential proxy-netwerken. Door thuisnetwerken binnen te dringen via geïnfecteerde IoT-apparaten zoals streaming-tv-boxen, kreeg het botnet toegang tot lokale netwerken die normaal door routers worden beschermd.

Akamai meldde dat deze hyper-volumetrische botnets aanvallen genereerden van meer dan 30 Tbps, 14 miljard pakketten per seconde en 300 miljoen verzoeken per seconde. Cybercriminelen gebruikten deze botnets om honderden duizenden aanvallen uit te voeren en in sommige gevallen afpersingsbetalingen te eisen. Deze aanvallen kunnen kerninfrastructuur van het internet ernstig verstoren, zorgen voor aanzienlijke serviceproblemen bij internetproviders en zelfs geavanceerde cloudgebaseerde mitigatiediensten overweldigen.