Eine groß angelegte, international koordinierte Cybercrime-Operation hat vier der derzeit leistungsstärksten IoT-Botnetze – Aisuru, Kimwolf, JackSkid und Mossad – erheblich geschwächt. Ermittler aus den USA, Deutschland und Kanada nahmen zentrale Teile der Command-and-Control-Infrastruktur (C2) vom Netz, die für massenhafte DDoS-Angriffe weltweit genutzt wurde, darunter auch gegen kritische Segmente des US-Verteidigungsintranets (DoDIN).
Kooperation von Strafverfolgern und Cloud-Anbietern bei der IoT-Botnet-Bekämpfung
Die Operation wurde vom US-Justizministerium geführt und stützte sich auf eine enge Zusammenarbeit mit Behörden in Deutschland und Kanada sowie einer ungewöhnlich breiten Allianz aus Technologie- und Cloud-Unternehmen. Beteiligt waren unter anderem Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal und SpyCloud. Diese Akteure kontrollieren wesentliche Teile der globalen Internet- und Cloud-Infrastruktur und konnten damit entscheidende technische Daten und Abwehrkapazitäten bereitstellen.
Nach Angaben des US-Justizministeriums hatten die vier Botnetze zusammen mehr als 3 Millionen IoT- und angrenzende Geräte kompromittiert – von IP-Kameras und DVRs bis hin zu Heimroutern. Hunderttausende infizierte Systeme befanden sich in US-Netzen, was das Risiko für lokale Provider, Behörden und Unternehmen deutlich erhöhte. Vergleichbare Studien, etwa von ENISA und dem Verizon Data Breach Investigations Report, bestätigen seit Jahren einen stetigen Anstieg von Angriffen, die auf schlecht gesicherte IoT-Geräte setzen.
DDoS-Skalierung auf Rekordniveau: Zahlen zu Aisuru, Kimwolf, JackSkid und Mossad
Im Rahmen der Maßnahme wurden virtuelle Server, Domains und weitere C2-Komponenten beschlagnahmt oder deaktiviert. Über diese Infrastruktur hatten die Betreiber Hunderttausende DDoS-Kampagnen gegen Behörden, Telekommunikationsanbieter und Onlinedienste ausgelöst.
Laut Gerichtsdokumenten hat allein Aisuru über 200.000 DDoS-Befehle abgesetzt, JackSkid mehr als 90.000, Kimwolf über 25.000 und Mossad mehr als 1.000. Besonders brisant: Aisuru zeichnete für mehrere Rekordattacken verantwortlich. Im Dezember 2025 führte das Botnet eine DDoS-Attacke mit einer Spitzenbandbreite von 31,4 Tbit/s und 200 Millionen Requests pro Sekunde gegen Unternehmen des Telekomsektors durch. Der bislang höchste bekannte Wert von 29,7 Tbit/s ging ebenfalls auf Aisuru zurück und übertraf damit bereits frühere Spitzenangriffe, wie sie etwa von Cloudflare oder Google dokumentiert wurden.
Kimwolf: Android-Botnet als IoT-Nachfolger und neues Angriffsmodell
Besondere Aufmerksamkeit erhält das Botnet Kimwolf, das erstmals Ende 2025 von Forschern von XLab detailliert analysiert wurde. Kimwolf kompromittierte Millionen Android-basierter Geräte – vor allem günstige Smart-TVs und TV-Boxen – und gilt faktisch als Android-Variante von Aisuru. Nach Einschätzung von Experten, darunter der Vizepräsident von AWS, Tom Scholl, markiert Kimwolf einen Wendepunkt in der Skalierung moderner Botnetze.
Statt klassisch das gesamte Internet nach verwundbaren Hosts zu scannen, nutzte Kimwolf aggressiv residuelle Proxy-Netzwerke. Über bereits kompromittierte IoT-Geräte erhielt das Botnet Zugang zu internen Heimnetzen und infizierte dort weitere Systeme. DDoS-Traffic erschien dadurch nach außen wie legitime Verbindungen aus Wohnnetzen und nicht wie typischer Botnet-Verkehr aus verdächtigen Hosting-Netzbereichen. Das erschwert das Filtern erheblich und unterläuft viele herkömmliche IP-basierte Schutzmechanismen.
Null-Routing von C2-Servern und Missbrauch offener Android Debug Bridge
Forscher von Lumen Black Lotus Labs berichten, dass im Zuge der Operation knapp 1.000 C2-Server von Aisuru und Kimwolf per null-route isoliert wurden. Beim Null-Routing wird Traffic zu einer nicht erreichbaren Route („Black Hole“) umgeleitet. Der betroffene Server ist effektiv vom Internet abgeschnitten, ohne dass legitime Services auf derselben Infrastruktur beeinträchtigt werden.
Die Telemetriedaten der Forscher verdeutlichen die Dynamik der Kampagne: In den ersten zwei Märzwochen 2026 kompromittierte JackSkid im Mittel über 150.000 Geräte täglich, Mossad mehr als 100.000 Geräte pro Tag. Beide Botnetze missbrauchten – wie bereits Kimwolf – eine Schwachstelle in residential Proxy-Diensten, die auf Geräten mit offenem Android Debug Bridge (ADB) basiert. Ein über das Internet erreichbarer, nicht abgesicherter ADB-Dienst verschafft Angreifern nahezu vollständigen Fernzugriff auf das jeweilige Gerät und macht es zu einem idealen DDoS-Zombie.
Cybercrime-as-a-Service: DDoS aus der Cloud zum Mietpreis
Die Betreiber der Botnetze monetarisierten ihre Infrastruktur nach dem Modell Cybercrime-as-a-Service. Sie boten DDoS-Angriffe und weitere Dienste im Abo oder als Einzelauftrag an und agierten damit ähnlich wie kommerzielle Cloud-Anbieter – nur mit krimineller Zielsetzung. In einigen Fällen kombinierten sie die Angriffe mit Erpressung, indem sie längere oder wiederholte Attacken androhten, falls kein Lösegeld gezahlt wurde. Diese Dienstleistungsstruktur senkt den Einstieg für weniger technisch versierte Täter erheblich, wie auch Berichte von Europol und dem BKA zu DDoS-for-Hire-Diensten unterstreichen.
Bereits im Winter hatten Recherchen des renommierten Sicherheitsjournalisten Brian Krebs zwei potenzielle Administratoren von Kimwolf identifiziert: den 23‑jährigen Kanadier Jacob Butler (Alias „Dort“) aus Ottawa sowie einen 15‑jährigen Jugendlichen aus Deutschland. Butler wies die Vorwürfe zurück und erklärte, sein alter Account sei kompromittiert worden. Offizielle Stellen haben bislang keine Festnahmen bestätigt; die genannten Namen basieren weiterhin ausschließlich auf journalistischen Quellen.
Risiken für kritische Infrastruktur und praktische Schutzempfehlungen
Nach Einschätzung von Akamai und anderen DDoS-Schutzanbietern können derart hochskalierte IoT-Botnet-Angriffe Kernbereiche der Internet-Infrastruktur massiv beeinträchtigen, Bandbreiten bei Providern überlasten und selbst spezialisierte Cloud-Abwehrlösungen unter Druck setzen. Jedes ungesicherte Heimgerät wird damit zu einem potenziellen Mikroknoten einer globalen Angriffswaffe gegen Unternehmen und staatliche Institutionen.
Die Zerschlagung von Teilen der Infrastruktur von Aisuru, Kimwolf, JackSkid und Mossad ist ein wichtiger Erfolg, löst aber die strukturellen Sicherheitsprobleme nicht. Hersteller von IoT- und Android-Geräten sollten unsichere Default-Dienste wie offenen ADB-Zugriff standardmäßig deaktivieren, automatische Sicherheitsupdates etablieren und sichere Grundeinstellungen („Secure by Default“) umsetzen. Organisationen mit kritischen Systemen brauchen mehrstufigen DDoS-Schutz, segmentierte Netzarchitekturen, kontinuierliche Traffic-Analyse und enge Kooperation mit Providern und spezialisierten Security-Dienstleistern.
Für Privatanwender und kleine Unternehmen beginnt wirksame Abwehr mit grundlegender Cyberhygiene: Standardpasswörter auf Routern und Kameras ändern, Firmware regelmäßig aktualisieren, ungenutzte Remote-Zugänge und Debug-Interfaces wie ADB konsequent deaktivieren. Die aktuellen Fälle zeigen deutlich, dass jedes einzelne IoT-Gerät Teil einer Rekord-DDoS-Kampagne werden kann. Wer frühzeitig in einfache Schutzmaßnahmen investiert, erschwert es Angreifern erheblich, neue Botnet-Armeen auf Basis vernetzter Alltagsgeräte aufzubauen – und leistet damit einen direkten Beitrag zur Stabilität des gesamten digitalen Ökosystems.
