AISURU/Kimwolf Botnet
La xarxa de bots de denegació de servei distribuïda (DDoS) rastrejada com a AISURU/Kimwolf s'ha relacionat amb un atac sense precedents que va assolir un màxim de 31,4 terabits per segon (Tbps). Malgrat la seva intensitat extrema, l'assalt va ser breu, només va durar 35 segons. L'incident va tenir lloc el novembre de 2025 i ara es considera el major atac DDoS mai observat.
Taula de continguts
L'auge dels atacs HTTP hipervolumètrics
Investigadors de seguretat han identificat aquest esdeveniment com a part d'un augment més ampli de l'activitat DDoS HTTP hipervolumètrica impulsada per AISURU/Kimwolf durant el quart trimestre del 2025. Aquests atacs representen una tendència creixent cap a assalts de curta durada però amb un rendiment extraordinàriament alt dissenyats per saturar la infraestructura moderna d'Internet abans que les defenses tradicionals puguin reaccionar completament.
Campanya “La nit abans de Nadal”
AISURU/Kimwolf també s'ha connectat a una operació posterior a gran escala coneguda com a The Night Before Christmas, que va començar el 19 de desembre de 2025. Durant aquesta campanya, els atacs hipervolumètrics van tenir una mitjana de 3.000 milions de paquets per segon (Bpps), 4 Tbps d'ample de banda i 54 milions de sol·licituds per segon (Mrps). Els nivells màxims van arribar als 9 Bpps, 24 Tbps i 205 Mrps, cosa que subratlla la capacitat de la botnet per generar volums de trànsit sostinguts i extrems.
Creixement explosiu de l'activitat DDoS el 2025
L'activitat DDoS es va accelerar dràsticament al llarg del 2025, augmentant un 121% interanual. De mitjana, es van mitigar automàticament 5.376 atacs cada hora. El volum total anual es va més que duplicar, arribant a aproximadament 47,1 milions d'atacs. Els atacs a la capa de xarxa van representar una part substancial d'aquest creixement, amb 34,4 milions mitigats el 2025 en comparació amb els 11,4 milions del 2024. Només en el quart trimestre, els atacs a la capa de xarxa van representar el 78% de tots els incidents DDoS, cosa que reflecteix un augment del 31% respecte al trimestre anterior i un augment del 58% respecte al 2024.
Escalada en escala i freqüència
L'últim trimestre del 2025 va registrar un augment del 40% en els atacs hipervolumètrics en comparació amb el trimestre anterior, passant de 1.304 a 1.824 incidents. A principis d'any, només es van registrar 717 atacs d'aquest tipus durant el primer trimestre. Més enllà de la pura freqüència, la magnitud dels atacs també es va expandir significativament, amb un augment de la mida de més del 700% en comparació amb els atacs a gran escala observats a finals del 2024.
Expansió de botnets a través de dispositius compromesos
S'ha avaluat que AISURU/Kimwolf controla una xarxa de bots de més de dos milions de dispositius Android. La majoria són televisors Android de marca diferent, compromesos, que s'han inscrit i encaminat de manera encoberta a través de xarxes proxy residencials com ara IPIDEA. Aquests serveis proxy s'han aprofitat per ocultar els orígens dels atacs i amplificar el trànsit.
Interrupció de la infraestructura del proxy i accions legals
En resposta a aquestes activitats, experts van interrompre recentment la xarxa de proxy residencial d'IPIDEA i van iniciar mesures legals per desmantellar desenes de dominis utilitzats per a operacions de comandament i control i proxy de trànsit. La retirada també va interferir amb les capacitats de resolució de dominis d'IPIDEA, degradant significativament la seva capacitat per gestionar dispositius infectats i comercialitzar els seus serveis de proxy. Nombrosos comptes i dominis van ser suspesos després de ser identificats com a facilitadors de la distribució de programari maliciós i l'accés il·lícit a xarxes de proxy residencials.
Distribució de programari maliciós i inscripció de proxy encobert
Les investigacions indiquen que IPIDEA va inscriure dispositius a través d'almenys 600 aplicacions Android troianitzades que incorporaven kits de desenvolupament de programari proxy, així com més de 3.000 binaris de Windows troianitzats disfressats d'eines de sincronització de OneDrive o actualitzacions de Windows. A més, l'operació amb seu a Pequín anunciava aplicacions VPN i proxy que convertien silenciosament els dispositius Android dels usuaris en nodes de sortida proxy sense el coneixement o el consentiment de l'usuari. Els operadors també han estat vinculats a almenys una dotzena de serveis proxy residencials que es presentaven com a ofertes legítimes mentre que, en última instància, alimentaven una infraestructura centralitzada controlada per IPIDEA.
Tendències clau de DDoS observades al quart trimestre del 2025
Sectors objectiu, regions afectades i orígens dels atacs: Els proveïdors i operadors de telecomunicacions van ser les organitzacions més objectiu, seguits dels sectors de les tecnologies de la informació, els jocs d'atzar, els jocs d'atzar i els programaris informàtics. Els països més atacats van ser la Xina, Hong Kong, Alemanya, Brasil, Estats Units, el Regne Unit, Vietnam, l'Azerbaidjan, l'Índia i Singapur. Bangladesh va emergir com la major font de trànsit DDoS, superant Indonèsia, amb altres fonts destacades com l'Equador, l'Argentina, Hong Kong, Ucraïna, Taiwan, Singapur i el Perú.
Implicacions per a les estratègies defensives
Els atacs DDoS estan augmentant ràpidament tant en sofisticació com en escala, superant amb escreix els límits previstos anteriorment. Aquest panorama d'amenaces en evolució planteja seriosos reptes per a les organitzacions que intenten mantenir el ritme utilitzant defenses tradicionals. Les empreses que continuen depenent principalment de dispositius de mitigació locals o centres de depuració a la carta poden haver de reavaluar les seves estratègies de protecció DDoS per abordar les realitats dels atacs hipervolumètrics i de curta durada.
