Aisuru僵尸网络从DDoS转向住宅代理

Aisuru是今年一系列破纪录分布式拒绝服务（DDoS）攻击的幕后僵尸网络，最近进行了全面改造，以支持更低调、有利可图且可持续的业务：将数十万台受感染的物联网（IoT）设备出租给代理服务，帮助网络罪犯匿名化其流量。专家表示，来自Aisuru和其他来源的大量代理正在推动与各种人工智能（AI）项目相关的大规模数据采集工作，通过路由流量经过看似普通互联网用户的住宅连接，帮助内容抓取工具逃避检测。

Aisuru于2024年8月首次被发现，已传播到至少70万台物联网系统，如安全性较差的互联网路由器和安全摄像头。Aisuru的控制者利用其庞大的僵尸网络，用引人注目的DDoS攻击打击目标，同时从所有受感染系统向目标主机 flooding 垃圾请求。

6月，Aisuru对KrebsOnSecurity.com发起了峰值达6.3Tbps的DDoS攻击——这是谷歌当时缓解过的最大攻击。在随后的几周和几个月里，Aisuru的操作者展示了近30Tbps的DDoS能力——远超大多数互联网目标的攻击缓解能力。

今年，这些数字围攻对美国互联网服务提供商（ISP）尤其具有破坏性，部分原因是Aisuru最近成功接管了美国境内的大量物联网设备。当Aisuru发动攻击时，来自这些ISP上受感染系统的出站流量通常非常高，以至于可能中断或降低ISP相邻（非受感染）客户的互联网服务。

Netscout的首席工程师Roland Dobbins在最近关于Aisuru的执行摘要中写道：“多家宽带接入网络运营商因来自Aisuru僵尸网络节点（位于终端客户处所）的出站DDoS攻击超过1.5Tb/秒而经历了重大的运营影响。来自受损客户终端设备（CPE）的出站/跨域攻击流量超过1Tb/秒，已对有线无线宽带接入网络造成严重破坏。高吞吐量攻击已导致基于机箱的路由器线卡故障。”

Aisuru不断的攻击引起了美国和欧洲联邦当局的注意（Aisuru的许多受害者是欧洲ISP和托管提供商的客户）。最近，一些世界上最大的ISP已开始非正式地共享阻止列表，识别攻击者用于控制僵尸网络活动的服务器快速变化的位置。

专家表示，Aisuru的僵尸网络主控者最近更新了其恶意软件，使得受感染设备更容易出租给所谓的“住宅代理”提供商。这些代理服务允许付费客户通过他人的设备路由其互联网通信，提供匿名性，并能够表现为全球几乎任何主要城市的普通互联网用户。

从网站的角度来看，住宅代理网络用户的IP流量似乎来自租用的住宅IP地址，而不是来自代理服务客户。代理服务可以以合法方式用于多种商业目的——例如价格比较或销售情报。但它们被大规模滥用以隐藏网络犯罪活动（如广告欺诈、凭据填充），因为它们可能使恶意流量难以追溯到其原始来源。

正如我们稍后将看到的，这整个阴暗行业似乎正将其重点转向支持激进的内容抓取活动，这些活动持续将原始数据输入为支持各种AI项目而构建的大型语言模型（LLM）。

“疯狂”的增长

Riley Kilmer是追踪代理网络的服务spur.us的联合创始人。Kilmer表示，所有顶级代理服务在过去六个月中都大幅增长。

“我刚刚检查过，在过去90天内，我们看到了2.5亿个独特的住宅代理IP，”Kilmer说。“这太疯狂了。这个数字如此之高，前所未闻。这些代理现在无处不在。”

如今，Spur表示正在追踪所有提供商可用代理的空前激增，包括：

LUMINATI_PROXY：11,856,421
NETNUT_PROXY：10,982,458
ABCPROXY_PROXY：9,294,419
OXYLABS_PROXY：6,754,790
IPIDEA_PROXY：3,209,313
EARNFM_PROXY：2,659,913
NODEMAVEN_PROXY：2,627,851
INFATICA_PROXY：2,335,194
IPROYAL_PROXY：2,032,027
YILU_PROXY：1,549,155

就代理网络明显快速增长寻求评论时，Oxylabs（在Spur列表中排名第4）表示，虽然他们的代理池最近确实有所增长，但增长速度远不及Spur引用的速度。

该公司在一份书面声明中表示：“我们不会系统地追踪其他提供商的数字，我们也不知道有任何10倍或100倍增长的情况，尤其是涉及几家合法企业的较大公司时。”

Bright Data前身为Luminati Networks，这是目前Spur最大住宅代理网络列表顶部的名称。Bright Data同样告诉KrebsOnSecurity，Spur当前对其代理网络的估计被严重夸大且不准确。

Bright Data的首席合规与道德官Rony Shalit表示：“我们没有主动启动，也没有看到我们的网络有10倍或100倍的扩张，这使我相信有人可能以某种方式将这些IP呈现为Bright Data的。过去许多情况下，由于我们是领先的数据收集代理提供商，IP被错误标记为我们网络的一部分，或被其他代理提供商用于恶意活动。”

“我们的网络仅来自经过验证的IP提供商和仅选择加入的稳健住宅对等点，我们努力并以完全透明的方式获取这些资源，”Shalit继续说道。“每个数据中心、ISP或SDK合作伙伴都经过审查和批准，每个住宅对等点必须主动选择加入才能成为我们网络的一部分。”

HK NETWORK

即使Spur也承认，Luminati和Oxylabs与其顶级代理提供商列表中的大多数其他代理服务不同，这些提供商实际上遵守“了解你的客户”政策，例如要求与所有客户进行视频通话，并严格阻止客户转售访问权限。

Benjamin Brundage是帮助公司检测代理网络的初创公司Synthient的创始人。Brundage表示，如果关于哪些代理网络最令人担忧的困惑日益增加，那是因为几乎所有这些不太知名的代理服务都已演变成高度内部互通的带宽转售商。此外，他表示，一些代理提供商不喜欢被追踪，并且已知会采取积极措施混淆扫描互联网寻找住宅代理节点的系统。

Brundage表示，如今大多数代理服务都创建了自己的软件开发工具包（SDK），其他应用程序开发人员可以将其捆绑到他们的代码中以赚取收入。这些SDK会悄悄修改用户的设备，以便其部分带宽可用于转发代理服务客户的流量。

“代理提供商拥有不断变化的IP地址池，”他说。“这些IP地址通过各种方式获取，例如带宽共享应用程序、僵尸网络、Android SDK等。这些提供商通常会直接接触转售商，或提供转售计划，允许用户通过其平台转售带宽。”

许多SDK提供商表示，在允许其软件安装在最终用户设备上之前，需要获得完全同意。尽管如此，对于像Aisuru僵尸网络主控者这样的网络罪犯来说，这些选择加入协议和同意复选框可能只是一种形式，他们每次强制其受感染设备安装启用这些代理服务之一的SDK时都可以获得佣金。

Brundage说，根据其结构，单个提供商可能同时运营数百个不同的代理池——所有这些都通过其他方式维护。

“通常，你会看到转售商除了上游提供商外还维护自己的代理池，”他说。“这使他们能够向高价值客户推销代理池，并以低廉的价格提供无限带宽计划，降低自身成本。”

一些代理提供商似乎直接与僵尸网络主控者合作。Brundage确定了一个代理销售商，该销售商积极向内容抓取公司宣传廉价且充足的带宽。在扫描该提供商的可用代理池后，Brundage表示，他发现与他先前映射到Aisuru僵尸网络的IP地址完全匹配。

Brundage表示，几乎无论以何种标准衡量，世界上最大的住宅代理服务都是IPidea，一个位于中国的代理网络。IPidea在Spur的前十名中排名第5，Brundage表示其品牌包括ABCProxy（第3名）、Roxlabs、LunaProxy、PIA S5 Proxy、PyProxy、922Proxy、360Proxy、IP2World和Cherry Proxy。Spur的Kilmer表示，他们还把Yilu Proxy（第10名）追踪为IPidea。

Brundage表示，所有这些提供商都在一个在网络犯罪论坛上被称为“HK Network”的企业保护伞下运营。

“运作方式是存在这整个转售商生态系统，IPidea会非常积极地接触所有这些代理提供商，提供‘嘿，如果你们从我们这里购买带宽，我们会给你们这些惊人的转售价格，’”Brundage解释说。“但他们在为自己的应用程序招募转售商方面也非常积极。”

那些应用程序包括一系列低成本且“免费”的虚拟专用网络（VPN）服务，这些服务确实允许用户享受免费VPN，但同时也将用户的设备变成了可以出租给网络罪犯或分配给无数其他代理网络的流量中继。

“他们有所有这些带宽要卸载，”Brundage在谈到IPidea及其姊妹网络时说。“他们可以通过自己的平台完成，或者他们去找转售商通过在可疑的黑客论坛上做广告来接触更多人，替他们完成。”

IPidea的一个核心品牌是922S5Proxy，这是对在2015年至2022年间非常流行的911S5Proxy服务的不那么含蓄的致敬。2022年7月，KrebsOnSecurity深入探讨了911S5Proxy的起源及其在中国的明显所有者。不到一周后，911S5Proxy在其服务器被大规模黑客攻击后宣布关闭。

那篇2022年的报道指出，来自北京的王云鹤（Yunhe Wang）是911S5代理服务的明显所有者和/或经理。2024年5月，美国司法部逮捕了王先生，指控他的网络被用于从金融机构、信用卡发行人和联邦贷款计划中窃取数十亿美元。同时，美国财政部宣布对王和另外两名中国公民实施制裁，因为他们运营911S5Proxy。

用于AI的数据抓取

近几个月来，多位追踪僵尸网络和代理活动的专家分享说，大量最终使AI公司受益的内容抓取现在正利用这些代理网络来进一步模糊其激进的数据收集活动。这是因为通过将其路由通过住宅IP地址，内容抓取公司可以使他们的流量更难被过滤掉。

“真的很难阻止，因为有阻止真实用户的风险，”Spur的Kilmer在谈到通过单个住宅IP地址（通常同时由多个客户共享）进行的LLM抓取活动时说。

Kilmer表示，AI行业为住宅代理业务带来了一层合法性，而迄今为止，该业务主要与可疑的联盟赚钱计划、自动化滥用和不需要的互联网流量相关联。

“网络爬取和抓取一直存在，但AI使其像商品一样，成为必须收集的数据，”Kilmer说。“每个人都想将自己的数据池货币化，而他们货币化的方式各不相同。”

Kilmer表示，许多与LLM相关的抓取工具在内容提供商以某种方式限制对其平台的访问时依赖住宅代理，例如强制通过应用程序进行交互，或将所有内容保留在具有多因素身份验证的登录页面之后。

“在数据成本过高的情况下——存在某种排他性或他们无法访问数据的原因——他们会转向住宅代理，这样他们看起来就像真实的人在访问那些数据，”Kilmer在谈到内容抓取工作时说。

激进的AI爬虫日益使社区维护的基础设施超载，导致对重要公共资源的持续DDoS攻击。今年早些时候，LibreNews的一份报告发现，一些开源项目现在高达97%的流量来自AI公司机器人，显著增加了带宽成本、服务不稳定性，并给已经捉襟见肘的维护者带来了负担。

Cloudflare正在试验一些工具，允许内容创作者向AI爬虫收取抓取其网站的费用。该公司的“按次爬取付费”功能目前处于私人测试阶段，它允许发布者设定自己的价格，机器人在抓取内容之前必须支付这些费用。

10月22日，社交媒体和新闻网络Reddit起诉了Oxylabs（PDF）和其他几家代理提供商，指控他们的系统促成了Reddit用户内容的大规模抓取，尽管Reddit已采取措施阻止此类活动。

诉讼称：“认识到Reddit拒绝像他们这样的抓取工具访问其网站，被告转而从谷歌的搜索结果中抓取数据。他们通过隐藏身份、隐藏位置并将他们的网络抓取工具伪装成普通人（以及其他技术）来做到这一点，以规避或绕过旨在阻止他们的安全限制。”

Oxylabs的首席治理与战略官Denas Grybauskas表示，该公司对诉讼感到震惊和失望。

“Reddit没有尝试直接与我们交谈或沟通任何潜在的担忧，”Grybauskas在一份书面声明中说。“Oxylabs一直是并将继续成为公共数据收集领域的先驱和行业领导者，并且将毫不犹豫地为自己辩护，反驳这些指控。Oxylabs的立场是，任何公司都不应声称拥有不属于他们的公共数据的所有权。这可能只是试图以虚高的价格出售相同的公共数据。”

熟悉的域名

Brundage表示，Aisuru的僵尸网络主控者拥有自己的SDK，出于某种原因，其部分代码告诉许多新受感染的系统查询域名fuckbriankrebs[.]com。这可能仅仅是对本网站作者精心设计的“去你的”：该僵尸网络的一个 alleged 合作伙伴使用别名“Forky”，并于6月被KrebsOnSecurity认定为来自巴西圣保罗的年轻人。

Brundage指出，只有感染了Aisuru Android SDK的系统才会被强制解析该域名。最初，有一些关于该域名是否可能具有某种作为能够破坏僵尸网络操作的“紧急停止开关”效用的讨论，尽管Brundage和为本报道接受采访的其他人表示这不太可能。

一方面，他们说，如果该域名对僵尸网络的运作 somehow 至关重要，为什么它仍然未注册并 actively 待售？我们确实问了为什么。幸运的是，该域名上周被安全情报公司Seralys的“首席黑客官”Philippe Caturegli巧妙地抢注了。

Caturegli在该域名上启用了被动DNS服务器，并在几小时内收到了对fuckbriankrebs[.]com上独特子域的超过70万次请求。

但即使对Aisuru有这种可见性，也很难使用此域名检查功能来衡量其真实规模，Brundage说。毕竟，他说，向该域名“回传”的系统只是整个僵尸网络的一小部分。

“僵尸程序被硬编码为只是对子域进行垃圾邮件式的查找，”他说。“所以任何时候发生感染或它在后台运行时，它都会执行一次那些DNS查询。”

fuckbriankrebs[.]com域名有着悠久的历史。在2009年最初推出时，它被Cutwail垃圾邮件僵尸网络用于传播恶意软件。2011年，该域名涉及来自由Russkill（又名“Dirt Jumper”）驱动的僵尸网络对本网站的一次显著DDoS攻击。

Domaintools.com发现，在2015年，fuckbriankrebs[.]com被注册到一个归属于David “Abdilo” Crees的电子邮件地址，他是一名27岁的澳大利亚男子，于2025年5月因与Lizard Squad黑客组织相关的网络犯罪定罪被判处已服刑期。

更新，2025年11月1日，美国东部时间上午10:25：早期版本的故事错误地引用了Spur今年早些时候的代理数字；Spur表示这些数字混淆了住宅代理（旋转且附着在真实最终用户设备上）与位于AT&T的“ISP代理”。Spur表示，ISP代理涉及欺骗ISP路由大量IP地址，这些地址作为更静态的数据中心代理转售。