AISURU 僵尸网络：从破纪录 DDoS 攻击到住宅代理帝国的演变

僵尸网络的僵尸纪录崛起与扩张

AISURU僵尸网络最初由XLab在2024年披露，现已迅速成为DDoS领域最危险的网络威胁之一。仅2025年 ，从破该网络就与多起破纪录攻击事件相关联，攻击国包括被Cloudflare成功缓解的到住惊人11.5Tbps攻击
。这个最初专注于DDoS的宅代僵尸网络现已演变为多功能犯罪基础设施，业务范围扩展至住宅代理服务。理帝

XLab研究人员指出："2025年以来 ，演变全球DDoS攻击的模板下载僵尸纪录峰值带宽屡破历史纪录，从年初的网络3.12Tbps攀升至最近的11.5Tbps 。在多起高影响或破纪录的从破攻击事件中 ，我们都发现名为AISURU的攻击国僵尸网络在幕后运作。"

核心团队与入侵手段

AISURU背后的到住组织由代号为Snow 、Tom和Forky的宅代三名运营者组成
，香港云服务器他们通过利用消费级网络设备漏洞声名狼藉 。理帝2025年4月
，Tom入侵了Totolink路由器固件更新服务器 ，劫持更新请求分发恶意软件
。XLab强调
："此次入侵使AISURU规模迅速扩大 ，短时间内就控制了超过10万台设备。"

截至2025年年中
，该僵尸网络已增长至近30万个活跃节点，其中多为分布在中国、美国、德国、英国的服务器租用家庭路由器。

受害者地理分布

受害者地理分布 | 图片来源：XLab

技术特征与对抗手段

AISURU运营团队以张扬作风闻名 ，报告描述他们"行事高调 ，常以娱乐为由对ISP发动极具破坏性的攻击" 。该组织还与Rapperbot等竞争僵尸网络爆发冲突 ，争夺脆弱设备的控制权。AISURU样本中甚至包含嘲讽竞争对手的加密信息："tHiS mOnTh At qiAnXin shitlab a NeW aisurU vErSiOn hIt oUr bOtMoN sYsTeM dOiNg tHe CHAaCha sLiDe"。

该僵尸网络持续更新恶意软件 ，采用先进加密  、免费模板混淆和规避技术 ，最新版本具备 ：

改进的RC4算法用于通信加密反虚拟机与反调试检测（可识别Wireshark、VMware、VirtualBox等）进程名称欺骗（伪装成telnetd、dhclient等良性Linux守护进程）内存杀手规避技术以延长运行时间

这些措施使AISURU更难分析与清除 ，确保其在庞大设备池中的持久性。

商业模式转型

虽然AISURU早期因大规模DDoS攻击（包括2025年9月的11.5Tbps事件）闻名，但现已进军代理服务领域。XLab指出："显然，源码库AISURU不再满足于单一的DDoS商业模式，正利用其庞大节点池拓展代理服务实现变现 。"

通过控制具有高带宽的受感染路由器，AISURU运营者开始提供住宅代理服务——这项利润丰厚的业务在匿名访问和绕过地理限制方面需求旺盛 。AISURU的规模和适应性展示了DDoS僵尸网络与代理服务日益融合的趋势
。攻击者不仅可租用AISURU发动破坏性流量攻击，还能利用其基础设施进行更隐蔽的亿华云操作，包括欺诈 、凭据填充和网络间谍活动
。