Botnet AISURU/Kimwolf realiza ataque DDoS recorde de 31,4 Tbps e expõe nova era de ataques hiper-volumétricos

A botnet conhecida como AISURU/Kimwolf foi associada a um ataque de negação de serviço distribuído (DDoS) de proporções inéditas, que atingiu um pico de 31,4 terabits por segundo (Tbps) e teve duração de apenas 35 segundos. O ataque, ocorrido em novembro de 2025, entrou para a história como um dos maiores já registrados.

A atividade foi automaticamente detectada e mitigada pela Cloudflare, que aponta o episódio como parte de uma tendência crescente de ataques DDoS HTTP hiper-volumétricos observados no quarto trimestre de 2025. Segundo a empresa, esse tipo de ofensiva vem se tornando mais frequente, mais rápido e significativamente mais intenso.

Além desse ataque recorde, a AISURU/Kimwolf também foi relacionada a outra campanha de DDoS, batizada de The Night Before Christmas, iniciada em 19 de dezembro de 2025. Durante essa campanha, os ataques apresentaram médias impressionantes de 3 bilhões de pacotes por segundo (Bpps), 4 Tbps e 54 milhões de requisições por segundo (Mrps), com picos que chegaram a 9 Bpps, 24 Tbps e 205 Mrps.

Dados consolidados pela Cloudflare mostram que os ataques DDoS cresceram 121% ao longo de 2025, alcançando uma média de 5.376 ataques mitigados automaticamente por hora. No total, o número de ataques mais que dobrou em relação ao ano anterior, chegando a 47,1 milhões. Apenas no nível de rede, foram 34,4 milhões de ataques DDoS mitigados em 2025, frente a 11,4 milhões em 2024.

O quarto trimestre de 2025 concentrou 78% de todos os ataques DDoS em nível de rede, com um aumento de 31% em relação ao trimestre anterior e de 58% na comparação anual. Já os ataques hiper-volumétricos cresceram 40% no período, saltando de 1.304 para 1.824 incidentes, além de apresentarem um aumento de mais de 700% em volume quando comparados aos grandes ataques do final de 2024.

As análises indicam que a AISURU/Kimwolf comprometeu mais de 2 milhões de dispositivos Android, em sua maioria TVs Android genéricas e fora de marca, frequentemente exploradas por meio de túneis em redes de proxies residenciais como a IPIDEA. No mês anterior, o Google anunciou a interrupção dessa rede de proxies e iniciou ações legais para derrubar dezenas de domínios usados no comando e controle dos dispositivos infectados.

Como parte desse esforço, o Google atuou em conjunto com a Cloudflare para interromper a resolução de domínios da IPIDEA, afetando diretamente a capacidade do grupo de controlar os dispositivos comprometidos e de comercializar seus serviços ilícitos. Segundo a Cloudflare, contas e domínios que abusavam de sua infraestrutura foram suspensos após tentativas de distribuição de malware e oferta de acesso a redes de proxies residenciais ilegais.

As investigações apontam que a IPIDEA teria recrutado dispositivos por meio de pelo menos 600 aplicativos Android trojanizados, além de mais de 3.000 binários maliciosos para Windows, disfarçados como atualizações do sistema ou ferramentas como OneDriveSync. Também foram identificados aplicativos de VPN e proxy que transformavam silenciosamente dispositivos Android em nós de saída, sem o conhecimento ou consentimento dos usuários.

Entre outras tendências observadas no quarto trimestre de 2025, destacam-se o setor de telecomunicações como o mais atacado, seguido por provedores de serviços, tecnologia da informação, apostas, jogos e software. Países como China, Brasil, Estados Unidos, Alemanha e Reino Unido figuraram entre os mais visados, enquanto Bangladesh ultrapassou a Indonésia como principal origem de ataques DDoS.

Segundo a Cloudflare, os ataques DDoS estão evoluindo rapidamente em sofisticação e escala, superando limites antes considerados improváveis. Esse cenário representa um desafio crescente para organizações que ainda dependem exclusivamente de soluções locais ou centros de scrubbing sob demanda, reforçando a necessidade de reavaliar estratégias de defesa.