Was passiert, wenn man Cyberkriminellen ihr teuerstes Spielzeug wegnimmt? Sie werden wütend und greifen an. Als mutige Sicherheitsforscher beschlossen, über 500 Kommando-Server der berüchtigten IoT-Botnetze Kimwolf und Aisuru lahmzulegen, reagierten die Hacker prompt: Sie feuerten massive Rache-Attacken auf die Forscher ab, deren Datenpakete bis zum Rand mit wüsten, vulgären Beschimpfungen gefüllt waren.
Dies ist die Geschichte vom rasanten Aufstieg einer gigantischen Cyber-Bedrohung, einem florierenden kriminellen Geschäftsmodell und dem bizarren Katz-und-Maus-Spiel zwischen Forschern und wutentbrannten Hackern.
Die unsichtbare Armee: Was sind Kimwolf und Aisuru?
Alles begann im August 2024, als Sicherheitsexperten erstmals das Aisuru-Botnetz identifizierten. Kurz darauf trat sein „großer Bruder“ Kimwolf auf den Plan. Zusammen bildeten sie eine stark verflochtene, beispiellose Cyber-Bedrohung, die das Internet in den Jahren 2025 und 2026 in Atem hielt.
Die Botnetze machten sich eine eklatante Schwachstelle unserer modernen Welt zunutze: schlecht gesicherte Internet-of-Things (IoT)-Geräte. Von handelsüblichen Internet-Routern in heimischen Wohnzimmern bis hin zu unsicheren Überwachungskameras – die Schadsoftware kaperte alles, was nicht bei Drei auf den Bäumen war. In ihrer Hochphase umfasste das Netzwerk von Aisuru, Kimwolf und verwandten Netzen wie JackSkid mehr als 3 Millionen infizierte Geräte weltweit. Allein Kimwolf hatte rund 2 Millionen Systeme unter seine Kontrolle gebracht.
Ihre primäre Waffe? Sogenannte hyper-volumetrische DDoS-Angriffe. Die schiere Masse an Geräten ermöglichte eine Zerstörungskraft von nie dagewesenem Ausmaß. Während das Aisuru-Botnetz in seiner Laufzeit über 200.000 DDoS-Angriffsbefehle erteilte, sorgte Kimwolf mit mehr als 25.000 Befehlen für Chaos. Im Dezember 2025 zwangen sie gemeinsam ein riesiges Content Delivery Network in die Knie. Im Februar 2026 überfluteten sie gezielt das dezentrale Anonymisierungsnetzwerk I2P.
Das wahre Geschäftsmodell: Mehr als nur rohe Gewalt
Doch rohe DDoS-Gewalt war den Betreibern bald nicht mehr lukrativ genug. Sie erkannten, dass ein Netzwerk aus Millionen gekaperter Privat-Router eine viel wertvollere Ressource darstellt: Unauffälligkeit.
Die Hacker begannen, die infizierten Geräte in sogenannte „Residential Proxies“ umzuwandeln. Das Prinzip ist perfide: Wenn Cyberkriminelle Angriffe starten, leiten sie ihren Datenverkehr einfach durch den Router einer ahnungslosen Privatperson. Für die Sicherheitssysteme von Banken oder Online-Shops sieht es dann so aus, als käme die Anfrage von einem harmlosen Haushaltsanschluss.
Dieses Netzwerk befeuerte im Hintergrund eine gewaltige Welle an Online-Betrug, Web-Scraping und Credential Stuffing, dem massenhaften automatisierten Ausprobieren von gestohlenen Passwörtern. Sicherheitsforscher stellten fest, dass das systematische Scannen und Missbrauchen dieser Proxy-Netzwerke durch Kimwolf ein absolut beispielloses Ausmaß annahm und die Infrastruktur zeitweise die am stärksten anvisierte Domain weltweit war.
Der Krieg im Schatten: Forscher vs. Hacker
Als die Botnetze Anfang 2026 eine kritische Masse erreichten, reichte es der IT-Sicherheits-Community. Die Experten der Black Lotus Labs (Lumen) entschlossen sich zu einem beispiellosen, proaktiven Gegenschlag.
Innerhalb von nur vier Monaten identifizierten und blockierten („Null-Routing“) die Forscher den Datenverkehr von sagenhaften 550 Command-and-Control (C2) Servern. Das glich dem Versuch, einem Kraken nach und nach alle Gehirne abzuschneiden. Jedes Mal, wenn die Botnetz-Betreiber ihre gekaperten Geräte für einen Angriff oder Betrug mobilisieren wollten, liefen ihre Befehle ins Leere.
Diese massive Störaktion brachte die Hintermänner ordentlich ins Schwitzen. Sie waren gezwungen, panisch neue Server-Architekturen aufzubauen und ihre Infrastruktur zu migrieren. Doch die Hacker reagierten nicht nur technisch. Sie nahmen es persönlich. In einem bizarren Racheakt richteten sie die verbleibende Feuerkraft ihrer Botnetze direkt gegen die Sicherheitsforscher. Die DDoS-Angriffe, die nun auf die Server der Experten einprasselten, enthielten eine besondere Botschaft: Der Schadcode war gespickt mit endlosen, vulgären Beschimpfungen, die direkt an die Forscher adressiert waren.
Hinter den kalten, automatisierten Angriffen von Millionen gekaperter Maschinen zeigten sich plötzlich die echten, wutentbrannten Gesichter frustrierter Krimineller, denen man gerade das lukrativste Geschäft ihres Lebens ruiniert hatte.
Das Endgame: Die globale Zerschlagung im März 2026
Doch die weitreichenden Bemühungen der privaten Sicherheitsforscher waren nur das Vorspiel für den ultimativen Todesstoß. Während die Betreiber der Botnetze noch damit beschäftigt waren, fluchend ihre Server vor den Forschern zu verstecken, zog sich die Schlinge der internationalen Strafverfolgungsbehörden bereits unwiderruflich zu.
Am 19. März 2026 endete die Schreckensherrschaft von Kimwolf und Aisuru in einem beispiellosen Polizeischlag. Das Bundeskriminalamt (BKA) und die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) gaben bekannt, dass die Netzwerke in enger, international koordinierter Zusammenarbeit mit US-Behörden und kanadischen Ermittlern endgültig zerschlagen wurden. Den Behörden gelang es, die global verteilte Angriffs-Infrastruktur von Aisuru, Kimwolf sowie der eng verwobenen Schwesternetzwerke JackSkid und Mossad erfolgreich zu beschlagnahmen und vom Netz zu nehmen.
Ist Ihr Router ein Schläfer-Agent?
Die Geschichte von Kimwolf und Aisuru beweist eindrucksvoll: Cyberkrieg findet längst nicht mehr nur auf den Servern großer Konzerne statt. Das Schlachtfeld hat sich in unsere Wohnzimmer verlagert. Jedes schlecht gesicherte Gerät mit Internetzugang ist eine potenzielle Waffe in den Händen von Botnetz-Betreibern.
Der erfolgreiche Takedown durch die internationalen Ermittlungsbehörden war ein brillanter Etappensieg und ein deutliches Signal an Cyberkriminelle. Er zeigt, dass selbst die größten und aggressivsten Netzwerke nicht unantastbar sind. Doch der Kampf ist damit nicht vorbei. Die Zerschlagung von Kimwolf und Aisuru reißt ein Vakuum auf, das andere Akteure nur allzu gern füllen wollen.
Solange das Internet der Dinge von Sicherheitslücken geplagt ist und die Einstiegshürden für Cyberkriminelle dank KI-Tools weiter sinken, bleibt die Bedrohung bestehen. Es liegt nun an Herstellern, Unternehmen und gesamten IT-Sicherheitsbranche, aus den Taktiken der Botnetze zu lernen und die Schutzschilde für den nächsten, unweigerlich kommenden Sturm zu stärken.
