史上最强？揭秘11.5T级超大规模僵尸网络AISURU的内幕

概述

2025年以来，全球DDoS攻击的带宽峰值不断刷新历史纪录，从年初的3.12 Tbps一路飙升至近日惊人的11.5 Tbps。在多起具有高影响力或打破流量纪录的攻击事件中，我们均监测到一个名为AISURU的僵尸网络在幕后频繁活动。

Cloudflare报告11.5T攻击事件:

AISURU僵尸网络最初于2024年8月由XLab首次披露，曾参与针对《黑神话：悟空》发行平台的DDoS攻击。自今年3月以来，XLab大网威胁监测平台持续捕获到该僵尸网络的新样本。多方信息显示，其背后团伙在4月涉嫌入侵某品牌路由器固件升级服务器，通过下发恶意脚本进一步扩展僵尸网络规模，当前节点数量据称已达30万。

更值得警惕的是，部分AISURU样本中嵌入的“彩蛋”信息已明显超出纯粹的攻击意图，转而试图传递特定意识形态内容。基于这一严峻态势，我们决定撰写本报告，向安全社区公开相关研究成果，呼吁各方携手应对，共同打击这一愈发猖獗的网络犯罪活动。

匿名消息源 & XLab视野

由于XLab长期深耕DDoS攻击这一领域，并持续发布可靠且独具深度的分析报告，这为我们不仅在防御者群体中、也在攻击者圈内积累了良好的声誉。近日，针对AISURU/ AIRASHI这一僵尸网络，有知情的匿名消息源主动向我们提供了相关情报，希望能像此前打击Fodcha僵尸网络一样，彻底瓦解AISURU。这一线索让我们终于有机会走近AISURU背后的团伙，揭开僵尸网络的运作内幕。

匿名消息源 

据匿名消息源称：AISURU团伙有3个关键人物，代号分别为Snow, Tom, Forky。2022年，Forky认识了当时尚在微末的Snow和Tom，经过catddos僵尸网络等几次愉快的合作之后，三人一拍即合，决定成立现在的AISURU团队。

• Snow：负责僵尸网络的开发
• Tom：负责漏洞，包括0day发现，Nday整合
• Forky：负责僵尸网络的销售
  
  

2025年4月，Tom成功入侵totolink的一台路由升级服务器，将固件升级的url设定为下载执行恶意脚本。这意味着每台执行升级操作的totolink路由器，都有可能感染AISURU僵尸网络。

这次入侵让AISURU僵尸网络的规模迅速攀升，在极短的时间内突破10万级。如此庞大的规模，让他们也有点措手不及，不得不牺牲睡觉时间，加班加点在数个C2 IP上配置策略，配合GRE TUNNEL进行分流。

AISURU团伙成员行事张扬，常以“好玩”为由对ISP发动攻击，破坏性非常强。这使得他们在DDoS圈内口碑非常差，常被别人戏称为“精神不正常”，可以说是树敌无数。

4月底，DDoS圈内人士决定给AISURU团伙一点颜色看看，开始在社交媒体各种爆料。先是在一次Cloudlare表示缓解创记录的5.8Tbps的推文下，回复道：“这是来自340k totolink路由的攻击！”；几天又曝光更重量级的证据：僵尸网络的后台截图。从统计数据来看当时bot在线总数超过30万，其中3万来自中国。他一边高呼“welcome to totolink botnet”，一边@totolink以及国际刑警，希望引起公众，执法机构注意，以实现对AISURU的打击意图。

目前totolink升级服务器的漏洞已被修补，AIRUSU团伙也幽默的表示RIP TOTOLINK 2025-2025，但其实AIRUSU僵尸网络的规模并未被影响，依然保持在30万左右。

在2025年9月创记录的12.1 Tbps之前，Aisuru做过数次攻击测试，包括对知名记者Brian Krebs个人网站的攻击，攻击流量均创造了当时的“世界记录”。

有意思的是“Ethan J Foltz”是Rapper Botnet的作者的真名，他于2025年8月6日被捕；而上图中“Ethan J Foltz”这个ID背后之人其实是Snow，他使用这种方式赤裸裸的嘲讽Rapperbot，这或许是AISURU团伙在DDoS圈人人喊打的原因之一。

XLab视野

对于匿名消息源提供的故事，读者肯定会有类似的想法：“这的确是很有趣的瓜，可你这瓜保熟不？”我们或许无法验证这些人物，但依托于XLab大网威胁感知系统强大的监测能力，我们对样本，C2，攻击事件均有良好的视野。以该团伙的数次关键活动为线索，通过数据交叉比对，我们认为匿名消息源提供的情报具有较高的可信度。

1：2025年4月向totolink升级服务器植入的恶意脚本t.sh

从26日起，脚本开始使用一个域名updatetoto.tw，可以通过域名排名系统Tranco来衡量它的活跃程序。

以4月29日到5月30日的排名为例，updatetoto.tw这个于4月25日才创建的Downloader域名在短短的一个月内就在全球域名中排到了672588，证明AISURU团伙这次的感染活动非常成功。

2：2025年4月开启GRE TUNNEL的C2 IP

Aisuru团伙在151.242.2.[22 - 25]这4个IP 配置GRE Tunnel，它们角色其实是C2服务器。

而我们在4月份捕获的C2 approach.ilovegaysex[.]su的TXT记录解密后涵盖了这4个IP，说明这个C2隶属于Aisuru团伙。

3：2025年5月对KrebsOnSecurity的攻击

对恶意域名 ilovegaysex 所关联的 C2 服务器进行指令跟踪，今年5月监测到其针对网络安全调查记者 Brian Krebs 的个人博客发起了网络攻击。

4：2025年9月对185.211.78.117的攻击

对恶意域名 ilovegaysex 所关联的 C2 服务器进行指令跟踪，今年9月监测到对185.211.78.117发起了网络攻击，流量是惊人的11.5 Tbps。

样本传播

依托于XLab大网威胁感知系统的能力，我们观察到Aisuru样本最近主要通过NDAY漏洞传播，同时具备0DAY漏洞的利用能力。去年6月开始使用的美国Cambium Networks公司的cnPilot路由器0DAY仍然在利用。Aisuru传播样本使用的部分漏洞如下：

攻击统计

Aisuru僵尸网络的攻击目标遍布全球，分布在各个行业，主要攻击目标分布在中国、美国、德国，英国，中国香港等地区。并无明显的强针对性。每日攻击目标几百个左右。

DDoS攻击趋势：

受害者地区分布：

技术分析

从2025年3月14日起，AIRURU团伙开始投递新的僵尸网络样本，和目前掌握的源码进行比对，我们发现更新主要集中在加密方式上，截止目前发现的更新可以分成俩大版本。

• 版本一的更新包括：使用ecdh-P256进行密钥交换，之后生成共享的chacha20密钥对网络通信消息加密；DNS-TXT记录不再使用base64+chacha20解密，使用base64+xor解密；新的攻击指令、消息格式

• 版本二的更新包括：精简网络协议，删除ecdh-P256密钥交换过程，；魔改xxhash算法用于验证消息完整性；魔改RC4算法用于解密样本字符串和通信key；

第一个版本只持续了半个月左右时间，后续主要使用第二个版本样本。下文以版本二的样本为主要分析对象，着重介绍Aisuru的对抗手法，加密算法以及网络协议。

环境检测

样本启动后会检测当前进程命令行中是否包含以下字符串:

tcpdumpwiresharktsharkdumpcap

检查内核的硬件标识信息是否包含以下字符串：

VMwareVirtualBoxKVMMicrosoftQEMU

如果检查到上述情况，则程序退出，在一定程度上干扰样本的动态分析

Killer对抗

Linux 内核有一个 OOM Killer（Out-Of-Memory Killer），当系统内存不足时，它会挑选一些进程强制结束来释放内存。该样本通过在/proc/self/oom_score_adj写入-1000来禁用该功能，以获取到更多的执行时间。

正所谓的同行是冤家，每个Botnet Operator都想独占设备，对于设备的争夺非常激烈，一个设备今天属于A，明天又被B入侵的情况屡见不鲜。比如Aisuru和Rapperbot的在nvms9000设备的竞争上就非常白热化，当Aisuru做为胜利方接管了设备后，都要忍不住的跳出来嘲讽Rapperbot，贴脸开大。

大部分僵尸网络样本为了多平台兼容性，使用静态链接编译样本，导致它们不使用任何共享库；此外还会在运行后删除自身文件。但这也让不少僵尸网络将上述作为特征进行kill，以击败自己的竞争对手。

为了对抗上述killer，样本启动后会在/lib/中搜索以.so结尾的共享库文件并映射到当前进程中；不删除文件并将文件名替换为libcow.so；进程名同样是被检查的重点对象，样本将进程名替换为以下常见的进程名之一：

telnetdudhcpcinetdntpclientwatchdogklogdupnpddhclient

魔改的RC4加密算法

和之前的AIRASHI版本相比，新样本解密字符串时也不再使用标准的RC4算法，校验消息时不再使用标准的HMAC-SHA256算法。

新样本使用了魔改的RC4算法，密钥为PJbiNbbeasddDfsc，该密钥在多个版本中都没有变化，或许是向Fodcha僵尸网络致敬。算法保留了RC4的256字节的S盒，在初始化和生成密钥流时增加新的扰动，等效的Golang实现如下:

func AIRASHI_RC4(data []byte) []byte {	key := make([]uint32, 4)	keyBytes := []byte("PJbiNbbeasddDfsc")for i := 0; i < 4; i++ {		key[i] = binary.BigEndian.Uint32(keyBytes[i*4 : (i+1)*4])	}	S := make([]byte, 256)	i := 13for j := 0; j < 256; j++ {		S[j] = byte(i & 0xff)		i -= 89	}	j := 0for i := 0; i < 256; i++ {		j = (j + int(S[i]) + int(key[i%4]>>(i%32))) % 256		S[i], S[j] = S[j], S[i]	}	seed := uint32(0xE0A4CBD6)for i := 0; i < 5; i++ {for k := 0; k < 256; k++ {			seed = 0x41C64E6D*seed + 12345			t := (seed * uint32(S[k])) >> 24			t1 := (seed ^ key[(i+k)%4] ^ uint32(S[k])) & 0xff			S[k] = byte(t1)			j = (int(t1) + j + int(t)) & 0xff			S[k] = S[j]			S[j] = byte(t1)		}	}	i, j, k := 0, 0, 0	m := uint32(1)	result := make([]byte, 0, len(data))for _, byteVal := range data {		i = (i + 1) % 256		j = (j + int(S[i])) % 256		k = (k + int(S[(i+j)%256])) % 256		S[i], S[j] = S[j], S[i]		m = rol32(m, 1)if (m & 1) != 0 {			m ^= 0xD800A4		}		t := (S[(k+j)%256] + S[(j+i)%256]) & 0xff		t1 := ((byte(m) ^ S[t]) >> 4) ^ rol8(byte(m)^S[t], 3)&0xff		result = append(result, byteVal^t1)	}return result}

以下图的密文为例：

使用AIRASHI_RC4解密后，我们得到的明文是一条充满挑衅意味的信息。对此，我们只想回应一句：“阁下莫非是皮痒了？”

• tHiS mOnTh At qiAnXin shitlab a NeW aisurU vErSiOn hIt oUr bOtMoN sYsTeM dOiNg tHe CHAaCha sLiDe
  

• 翻译为中文为：本月在奇安信的shitlab，一个新的Aisuru版本出现在了我们的BotMon系统，正在跳ChaCha舞。

当然，AISURU在样本中隐藏的信息远不止这一条。感兴趣的读者可以自行对样本（MD5: 053a0abe0600d16a91b822eb538987bca3f3ab55）进行解密分析。一旦成功解密，你就会明白，我们为何下定决心要坚决打击这一网络攻击团伙。

C2获取

样本继续保持之前的C2解密方法，通过|分割从字符串表中解密的C2字符串，得到多个子域名和主域名，再通过,分割多个子域名，示例如下：

decrypted str: sub1,sub2,sub3|domain.tldc2_1: sub1.domain.tldc2_2: sub2.domain.tldc2_3: sub3.domain.tld

在解析域名时，仍使用加密的TXT记录，在之前的blog的样本中使用base64+ChaCha20进行解密，新版本只是弃用了ChaCha20，改用异或获取IP。对C2解密感兴趣的读者，可参阅Appendix章节的CyberChef，只需要将C2的TXT记录复制到INPUT即可。

网速测试

开发者在最新的几个版本中，加入了网络上传速度测试的功能，该功能使用了speedtest的公共服务

• GET /speedtest-servers-static.php 获取测试服务器

• GET /speedtest/latency.txt 获取延迟最低的服务器
• 向延迟最低的服务器POST随机数据，时间为10s（部分样本为100ms）
  
  

但该功能并不会对程序运行和C2连接方面产生影响，只是在得到结果后向C2报告。我们认为测速这一新增加功能的的目的是为后续的代理指令服务，很显然C2会向一些网络良好的节点下发代理指令，让其成为住宅代理中的一环。

网络协议

协议方面和之前版本相比，整体流程变化不大，仍保留获取共享的ChaCha20密码、确认机制，只是在消息格式和指令、加密算法方面做修改。

新的消息由三部分构成：消息头、随机字节和消息体，如图所示是解密后的上线包：

消息头长度固定为8字节，由4个字段组成：

msgType(1byte) + randSize(1byte) + bodySize(2byte) + bodyHash(4byte)

上线包新增字段：

struct login{uint32 stun_ip;  uint32 botid_len;char botid[botid_len];uint32 version;uint32 nodename_len;char nodename[nodename_len];uint32 cwd_len;char cwd[cwd_len];uint32 kernel_ver_len;char kernel_ver[kernel_ver_len];uint16 reserve1;uint8 reserve2;bool support_udp;}

新版本支持的指令及对应的功能描述如下：

可以看出新样本不仅支持DDoS攻击，还支持Proxy。随着全球执法机构对网络犯罪的打击力度不断加大，网络犯罪集团对匿名化服务的需求日益增长。正所谓有需求的地方，就有利益。僵尸网络控制的节点天然适合构建住宅代理，从我们的目前积累的案例来看，这似乎是近年来DDoS圈的一个潮流，把业务从单一的攻击，扩展到网络代理。

我们在XLab指令跟踪系统中实现了Aisuru网络协议，和预期一样，不仅接收到常规的DDoS攻击指令，还接到和Proxy相关的指令。

很显然，Aisuru 已不再满足于 DDoS 攻击这一单一业务模式，开始涉足代理服务领域，试图充分利用其手中庞大的节点资源，以谋求更多经济利益。

IoC

C2

coerece[.ilovegaysex[.suapproach[.ilovegaysex[.suministry[.ilovegaysex[.sulane[.ilovegaysex[.sua.6mv1eyr328y6due83u3js6whtzuxfyhw[.ru

Report/Download Server

u[.ilovegaysex[.suupdatetoto[.tw

Proxy Relay C2

194.46.59[.169	United Kingdom|England|Exeter	AS206509|KCOM GROUP LIMITED104.171.170[.241	United States|Virginia|Ashburn	AS7922|Comcast Cable Communications, LLC104.171.170[.253	United States|Virginia|Ashburn	AS7922|Comcast Cable Communications, LLC107.173.196[.189	United States|New York|Buffalo	AS36352|ColoCrossing64.188.68[.193	United States|District of Columbia|Washington	AS46339|CSDVRS, LLC78.108.178[.100	Czech Republic|Praha, Hlavni mesto|Prague	AS62160|Yes Networks Unlimited Ltd

Sample

09894c3414b42addbf12527b0842ee7011e70cfd51d9a914b8d35bb26d37ff406a712f41d2075bc6616a3bef8b0be85a3c2bc01bbb5fb4a5f98bf707ccf40dfe7ae44d5e6922a22beed710f9a181272526e9e38ec51d5a31a892e57908cb9727ab60cf8808e9620a1b36678fe8406d1a231a436a752f5a5e053a0abe0600d16a91b822eb538987bca3f3ab55