Botnet AISURU/Kimwolf
La botnet Distributed Denial-of-Service (DDoS) identificata come AISURU/Kimwolf è stata collegata a un attacco senza precedenti che ha raggiunto un picco di 31,4 terabit al secondo (Tbps). Nonostante la sua estrema intensità, l'attacco è stato di breve durata, solo 35 secondi. L'incidente si è verificato nel novembre 2025 e rappresenta oggi il più grande attacco DDoS mai osservato.
Sommario
Ascesa degli attacchi HTTP ipervolumetrici
I ricercatori di sicurezza hanno identificato questo evento come parte di un'ondata più ampia di attività DDoS HTTP ipervolumetriche, guidata da AISURU/Kimwolf nel quarto trimestre del 2025. Questi attacchi rappresentano una tendenza crescente verso attacchi di breve durata ma con una capacità di trasmissione straordinariamente elevata, progettati per sopraffare le moderne infrastrutture Internet prima che le difese tradizionali possano reagire completamente.
Campagna “La notte prima di Natale”
AISURU/Kimwolf è stato anche collegato a una successiva operazione su larga scala nota come The Night Before Christmas, iniziata il 19 dicembre 2025. Durante questa campagna, gli attacchi ipervolumetrici hanno raggiunto una media di 3 miliardi di pacchetti al secondo (Bpps), 4 Tbps di larghezza di banda e 54 milioni di richieste al secondo (Mrps). I picchi hanno raggiunto i 9 Bpps, 24 Tbps e 205 Mrps, a dimostrazione della capacità della botnet di generare volumi di traffico sostenuti ed estremi.
Crescita esplosiva dell’attività DDoS nel 2025
L'attività DDoS ha subito una drastica accelerazione nel corso del 2025, con un aumento del 121% su base annua. In media, 5.376 attacchi sono stati mitigati automaticamente ogni ora. Il volume annuo totale è più che raddoppiato, raggiungendo circa 47,1 milioni di attacchi. Gli attacchi a livello di rete hanno rappresentato una parte sostanziale di questa crescita, con 34,4 milioni di attacchi mitigati nel 2025 rispetto agli 11,4 milioni del 2024. Solo nel quarto trimestre, gli attacchi a livello di rete hanno rappresentato il 78% di tutti gli incidenti DDoS, con un aumento del 31% rispetto al trimestre precedente e del 58% rispetto al 2024.
Escalation in scala e frequenza
L'ultimo trimestre del 2025 ha visto un aumento del 40% degli attacchi ipervolumetrici rispetto al trimestre precedente, passando da 1.304 a 1.824 incidenti. All'inizio dell'anno, nel primo trimestre erano stati registrati solo 717 attacchi di questo tipo. Oltre alla frequenza, anche la magnitudo degli attacchi è aumentata in modo significativo, con dimensioni in crescita di oltre il 700% rispetto agli attacchi su larga scala osservati alla fine del 2024.
Espansione della botnet tramite dispositivi compromessi
Si ritiene che AISURU/Kimwolf controlli una botnet composta da oltre due milioni di dispositivi Android. La maggior parte di essi sono televisori Android compromessi e non di marca, registrati e instradati segretamente attraverso reti proxy residenziali come IPIDEA. Questi servizi proxy sono stati sfruttati per oscurare l'origine degli attacchi e amplificare il traffico.
Interruzione dell’infrastruttura proxy e azione legale
In risposta a queste attività, gli esperti hanno recentemente interrotto la rete proxy residenziale di IPIDEA e avviato misure legali per smantellare decine di domini utilizzati per operazioni di comando e controllo e proxy del traffico. La rimozione ha anche interferito con le capacità di risoluzione dei domini di IPIDEA, compromettendone significativamente la capacità di gestire i dispositivi infetti e commercializzare i propri servizi proxy. Numerosi account e domini sono stati sospesi dopo essere stati identificati come facilitatori della distribuzione di malware e dell'accesso illecito alle reti proxy residenziali.
Distribuzione di malware e registrazione di proxy nascosti
Le indagini indicano che IPIDEA ha registrato dispositivi tramite almeno 600 applicazioni Android trojanizzate che incorporavano kit di sviluppo software proxy, nonché oltre 3.000 file binari Windows trojanizzati camuffati da strumenti di sincronizzazione OneDrive o aggiornamenti di Windows. Inoltre, l'operazione con sede a Pechino pubblicizzava applicazioni VPN e proxy che convertivano silenziosamente i dispositivi Android degli utenti in nodi di uscita proxy senza che l'utente ne fosse a conoscenza o ne avesse dato il consenso. Gli operatori sono stati inoltre collegati ad almeno una dozzina di servizi proxy residenziali che si presentavano come offerte legittime, ma in realtà alimentavano un'infrastruttura centralizzata controllata da IPIDEA.
Principali tendenze DDoS osservate nel quarto trimestre del 2025
Settori presi di mira, regioni colpite e origini degli attacchi: i fornitori e gli operatori di telecomunicazioni sono stati le organizzazioni più colpite, seguite dai settori dell'informatica, del gioco d'azzardo, del gaming e del software per computer. Tra i paesi più colpiti figurano Cina, Hong Kong, Germania, Brasile, Stati Uniti, Regno Unito, Vietnam, Azerbaigian, India e Singapore. Il Bangladesh è emerso come la principale fonte di traffico DDoS, superando l'Indonesia, con altre fonti importanti tra cui Ecuador, Argentina, Hong Kong, Ucraina, Taiwan, Singapore e Perù.
Implicazioni per le strategie difensive
Gli attacchi DDoS stanno rapidamente aumentando sia in termini di sofisticatezza che di portata, superando di gran lunga i limiti precedentemente previsti. Questo panorama delle minacce in continua evoluzione pone serie sfide alle organizzazioni che cercano di tenere il passo con le difese tradizionali. Le aziende che continuano ad affidarsi principalmente ad appliance di mitigazione on-premise o a scrubbing center on-demand potrebbero dover rivalutare le proprie strategie di protezione DDoS per affrontare la realtà degli attacchi ipervolumetrici e di breve durata.
