Дослідники компаній Pulsedive та Spamhaus зафіксували різкий сплеск активності ботнетів, що базуються на коді шкідливого ПЗ Mirai. США вперше обігнали Китай за кількістю розміщених C2-серверів. Найпотужнішими представниками нинішнього покоління стали ботнети Aisuru та KimWolf. Перший заражає мережеве обладнання, DVR-реєстратори та IP-камери; другий є Android-варіантом Aisuru, спеціалізованим для Smart TV та мобільних пристроїв — за оцінками він інфікував близько 2 мільйонів Android-пристроїв у В’єтнамі, Бразилії, Індії та Саудівській Аравії. Разом угруповання Aisuru-KimWolf несе відповідальність за рекордні DDoS-атаки: флуд потужністю 31,4 терабіта за секунду в листопаді 2025 року та атаку інтенсивністю 14,1 мільярда пакетів за секунду.

Міністерство юстиції США спільно з органами влади Канади та Німеччини оголосило про операцію з нейтралізації командної інфраструктури чотирьох ботнетів: Aisuru, KimWolf, JackSkid та Mossad. До операції долучились понад 15 приватних компаній, зокрема Akamai, Amazon Web Services, Cloudflare, Google, Lumen, Nokia та PayPal. Загальна кількість скомпрометованих пристроїв у цих мережах перевищила 3 мільйони. Компанія Lumen Black Lotus Labs заблокувала маршрутизацію майже 1 000 C2-серверів. За матеріалами судових справ, оператори ботнетів монетизували свою інфраструктуру за моделлю «кіберзлочин як сервіс»: доступ до заражених пристроїв здавався в оренду іншим злочинцям через Discord і Telegram для проведення атак за замовленням. Слідчі встановили особу підозрюваного — молодого німецького хакера на прізвисько «Snow» або «Lucy», чиє справжнє ім’я, можливо, Філіп.