La botnet de denegación de servicio distribuido (DDoS), llamada AISURU/Kimwolf, ha sido responsable de un ataque sin precedentes que alcanzó un pico de 31,4 terabits por segundo (Tbps) y tuvo una duración de solo 35 segundos. Cloudflare, que logró detectar y mitigar la actividad de manera automática, afirmó que este ataque es parte de un aumento en los ataques DDoS HTTP hipervolumétricos ejecutados por la botnet durante el cuarto trimestre de 2025, sucediendo en noviembre de ese año.

Además, AISURU/Kimwolf también estuvo involucrada en otra campaña DDoS denominada
«The Night Before Christmas», que se inició el 19 de diciembre de 2025. Según Cloudflare, el ataque promedio durante esta campaña fue de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 solicitudes por segundo (Mrps), con picos máximos de 9 Bpps, 24 Tbps y 205 Mrps.

Algunas tendencias destacadas por Cloudflare en el cuarto trimestre de 2025 son las siguientes:

  • El sector de telecomunicaciones y los proveedores de servicios se convirtió en el más atacado, seguido por tecnologías de la información, juegos de azar, videojuegos y software.
  • Los países más afectados incluyeron China, Hong Kong, Alemania, Brasil, EE. UU., Reino Unido, Vietnam, Azerbaiyán, India y Singapur.
  • Bangladesh superó a Indonesia como la principal fuente de ataques DDoS, seguido de Ecuador, Indonesia, Argentina, Hong Kong, Ucrania, Vietnam, Taiwán, Singapur y Perú.

«Los ataques DDoS aumentaron un 121% en 2025, con un promedio de
5.376 ataques mitigados automáticamente cada hora»
, comentaron Omer Yoachimik y Jorge Pacheco de Cloudflare. En 2025, el total de ataques DDoS se más que duplicó, alcanzando la cifra asombrosa de 47,1 millones.

La empresa de infraestructura web señaló que logró mitigar 34,4 millones de ataques DDoS a nivel de red en 2025, comparado con los 11,4 millones en 2024. Solo en el cuarto trimestre de 2025, los ataques a nivel de red representaron el 78% del total. El número de ataques DDoS aumentó un 3% con respecto al trimestre anterior y un 58% en comparación con 2024.

En el cuarto trimestre de 2025, los ataques hipervolumétricos crecieron un 40% en comparación con el trimestre anterior, pasando de 1.304 a 1.824. En el primer trimestre de 2025 se registraron 717 ataques. Este aumento se acompaña de un incremento en el tamaño de los ataques, que creció más del 700% en comparación con los ataques más grandes observados a finales de 2024.

AISURU/Kimwolf ha incorporado a su botnet más de
2 millones de dispositivos Android, principalmente televisores Android de distintas marcas, a menudo a través de túneles usando redes proxy residenciales como IPIDEA
. El mes pasado,
Google detuvo la red proxy y comenzó acciones legales para desmantelar múltiples dominios utilizados para controlar dispositivos y el tráfico proxy asociado con ellos.

Google colaboró con Cloudflare para interrumpir la resolución de dominios de IPIDEA, afectando su capacidad para gestionar los dispositivos infectados y comercializar sus productos.

Se ha descubierto que IPIDEA ha registrado dispositivos utilizando al menos 600 aplicaciones Android troyanizadas que contenían diversos kits de desarrollo de software (SDK) de proxy, así como más de 3.000 binarios de Windows troyanizados que simulaban ser OneDriveSync o actualizaciones de Windows. Además, la empresa con sede en Pekín promocionó varias aplicaciones VPN y proxy que convertían sin consentimiento los dispositivos Android de los usuarios en nodos de salida de proxy.

Los operadores de IPIDEA gestionan al menos una docena de empresas de proxy residencial que se presentan como servicios legítimos. Todas estas ofertas están conectadas a una infraestructura centralizada bajo el control de IPIDEA.

Fuente:
THN


Con Información de blog.segu-info.com.ar