Botnet AISURU/Kimwolf
A botnet de ataque de negação de serviço distribuída (DDoS) rastreada como AISURU/Kimwolf foi associada a um ataque sem precedentes que atingiu um pico de 31,4 terabits por segundo (Tbps). Apesar de sua extrema intensidade, o ataque foi breve, durando apenas 35 segundos. O incidente ocorreu em novembro de 2025 e agora é considerado o maior ataque DDoS já observado.
Índice
Aumento dos ataques HTTP hipervolumétricos
Pesquisadores de segurança identificaram esse evento como parte de um aumento mais amplo na atividade de DDoS HTTP de alto volume, impulsionada pelo grupo AISURU/Kimwolf durante o quarto trimestre de 2025. Esses ataques representam uma tendência crescente de ataques de curta duração, mas com uma capacidade de processamento extraordinariamente alta, projetados para sobrecarregar a infraestrutura moderna da internet antes que as defesas tradicionais possam reagir completamente.
Campanha 'A Noite Antes do Natal'
A AISURU/Kimwolf também foi associada a uma operação subsequente em larga escala conhecida como "A Noite Antes do Natal", que começou em 19 de dezembro de 2025. Durante essa campanha, os ataques hipervolumétricos atingiram uma média de 3 bilhões de pacotes por segundo (Bpps), 4 Tbps de largura de banda e 54 milhões de requisições por segundo (Mrps). Os picos de tráfego chegaram a 9 Bpps, 24 Tbps e 205 Mrps, o que demonstra a capacidade da botnet de gerar volumes de tráfego extremos e sustentados.
Crescimento explosivo da atividade de DDoS em 2025
A atividade de DDoS acelerou drasticamente ao longo de 2025, aumentando 121% em relação ao ano anterior. Em média, 5.376 ataques foram mitigados automaticamente a cada hora. O volume anual total mais que dobrou, atingindo aproximadamente 47,1 milhões de ataques. Os ataques na camada de rede representaram uma parcela substancial desse crescimento, com 34,4 milhões mitigados em 2025, em comparação com 11,4 milhões em 2024. Somente no quarto trimestre, os ataques na camada de rede representaram 78% de todos os incidentes de DDoS, refletindo um aumento de 31% em relação ao trimestre anterior e um aumento de 58% em comparação com 2024.
Aumento em escala e frequência
O último trimestre de 2025 registrou um aumento de 40% nos ataques hipervolumétricos em comparação com o trimestre anterior, passando de 1.304 para 1.824 incidentes. No início do ano, apenas 717 ataques desse tipo foram registrados no primeiro trimestre. Além da frequência, a magnitude dos ataques também aumentou significativamente, com um crescimento de mais de 700% em comparação com os ataques em larga escala observados no final de 2024.
Expansão de botnets através de dispositivos comprometidos
Estima-se que o grupo AISURU/Kimwolf controle uma botnet com mais de dois milhões de dispositivos Android. A maioria são televisores Android de marcas desconhecidas, comprometidos e que foram inscritos secretamente e roteados por meio de redes proxy residenciais, como a IPIDEA. Esses serviços de proxy foram utilizados para ocultar a origem dos ataques e amplificar o tráfego.
Interrupção da infraestrutura de proxy e ação judicial
Em resposta a essas atividades, especialistas interromperam recentemente a rede de proxies residenciais da IPIDEA e iniciaram medidas legais para desmantelar dezenas de domínios usados para operações de comando e controle e para encaminhamento de tráfego. A desarticulação também interferiu nas capacidades de resolução de domínio da IPIDEA, degradando significativamente sua capacidade de gerenciar dispositivos infectados e comercializar seus serviços de proxy. Inúmeras contas e domínios foram suspensos após serem identificados como facilitadores da distribuição de malware e do acesso ilícito a redes de proxies residenciais.
Distribuição de malware e inscrição oculta por proxy
Investigações indicam que a IPIDEA cadastrou dispositivos por meio de pelo menos 600 aplicativos Android infectados com trojans, que incorporavam kits de desenvolvimento de software (SDKs) de proxy, além de mais de 3.000 binários de Windows infectados com trojans, disfarçados de ferramentas de sincronização do OneDrive ou atualizações do Windows. Ademais, a operação sediada em Pequim anunciava aplicativos de VPN e proxy que convertiam silenciosamente os dispositivos Android dos usuários em nós de saída de proxy, sem o conhecimento ou consentimento dos mesmos. Operadoras também foram associadas a pelo menos uma dúzia de serviços de proxy residenciais que se apresentavam como ofertas legítimas, mas que, na verdade, alimentavam uma infraestrutura centralizada controlada pela IPIDEA.
Principais tendências de DDoS observadas no 4º trimestre de 2025
Setores visados, regiões afetadas e origens dos ataques: Os provedores e operadoras de telecomunicações foram as organizações mais visadas, seguidos pelos setores de tecnologia da informação, jogos de azar, jogos eletrônicos e software. Os países mais atacados incluíram China, Hong Kong, Alemanha, Brasil, Estados Unidos, Reino Unido, Vietnã, Azerbaijão, Índia e Singapura. Bangladesh emergiu como a maior fonte de tráfego DDoS, ultrapassando a Indonésia, com outras fontes importantes incluindo Equador, Argentina, Hong Kong, Ucrânia, Taiwan, Singapura e Peru.
Implicações para estratégias defensivas
Os ataques DDoS estão aumentando rapidamente em sofisticação e escala, ultrapassando em muito os limites anteriormente previstos. Esse cenário de ameaças em constante evolução representa sérios desafios para as organizações que tentam acompanhar o ritmo usando defesas tradicionais. Empresas que continuam a depender principalmente de dispositivos de mitigação locais ou centros de limpeza sob demanda podem precisar reavaliar suas estratégias de proteção contra DDoS para lidar com a realidade de ataques hipervolumétricos e de curta duração.
