Miraiベースのボットネットは、単純なIoTマルウェアから大規模なDDoSおよびプロキシ悪用プラットフォームへと進化し、現在は記録破りの攻撃と隠密なサイバー犯罪操作を支えています。
合計すると、2025年7月から12月の間に21,000以上のC2サーバが観測され、従来のDDoS使用に加えてボットを住宅用プロキシとして悪用する傾向が顕著に見られました。
この成長はますます大規模なDDoSキャンペーンと一致しており、Cloudflareの2025年第4四半期のデータは、Aisuru-Kimwolfボットネットファミリーに起因する31.4 Tbpsのインシデントを含む一連の「超大規模」攻撃を強調しています。
Spamhausはボットネットコマンド・アンド・コントロール(C2)活動が2025年前半に26%、その年の後半にさらに24%増加し、18ヶ月間の相対的な安定性を逆転させたと報告しています。
基盤フレームワークとしてのMirai
2016年に最初に見られたMiraiは、軽量Linuxを実行し、通常はデフォルトまたは弱い認証情報のみで保護されたインターネット接続デバイスを標的としています。
妥協されると、これらのIoTシステムは選択されたターゲットに対して高容量のUDP、TCP、およびアプリケーション層フラッドを実行できるボットネットに登録されます。
Miraiのソースコードの公開リリースは、バリアントと「ブランチ」の爆発を引き起こし、その多くはコア走査およびDDoSロジックを保持しながら、新しいエクスプロイト、CPUアーキテクチャ、および回避機能を追加しています。
Satoriは最もよく知られたMirai派生物の1つであり、2017年後半に初めて検出されました。D-Link DSLデバイスのコマンドインジェクションバグなどのリモートコード実行の脆弱性を武装化し、広範なカバレッジのためにアーキテクチャ固有のバイナリをドロップするインストールスクリプトをデプロイすることで、数十万の家庭および小規模オフィスルーターに素早く感染しました。
これらのスクリプトはダウンロード、権限変更、実行を自動化するため、ルーターに到達したら、通常はユーザーの操作なしでボットネットに統合できます。
Aisuru-Kimwolf: DDoSおよびプロキシ悪用
最近、AisuruおよびKimwolfファミリーは、Miraiスタイルのボットネットを超大規模DDoSエンジンおよび賃貸可能な住宅用プロキシネットワークという二重の役割に押し出しました。
Cloudflareと複数のセキュリティ研究者は、Aisuru-Kimwolfを31.4 Tbps攻撃および秒あたり数百億パケットで測定されるフラッドに関連付けており、多くの場合は単純なフィルタリングを回避するためにランダム化されたパケット特性を使用しています。
並行報告により、Kimwolf(Androidに焦点を当てたAisuru派生物)がIPIDEAなどの住宅用プロキシプロバイダーを悪用して内部ネットワークに到達し、スマートテレビおよびモバイルデバイスに感染し、その後、地下チャネルを介して詐欺、認証情報詰め、およびその他の悪用のためにそのアクセスを再販売していることが示されています。
当局は大規模での反撃を始めています。米国の中断努力はIoT DDoSボットネットのC2インフラストラクチャを標的としており、Googleとパートナーはマーケティングおよび虐待された住宅用プロキシプールを制御するために使用されるドメインとアカウントを中断する動きをしています。
これらの努力にもかかわらず、Miraiベースのエコシステムはパッチが適用されていないルーター、セキュアでないAndroidデバイス、および演算子がテイクダウン後に迅速に再構築できるように常にリサイクルされるインフラストラクチャのおかげで、耐性があります。
ディフェンダーにとって、これはエッジデバイスでの基本的な衛生を優先し、異常な送信トラフィックパターンを監視し、これらのボットネットがDDoS電力とプロキシ悪用機能の両方で成長し続けるため、Mirai派生インジケータの追跡が不可欠であることを意味します。
翻訳元: https://gbhackers.com/mirai-botnets/
