La botnet de denegación de servicio distribuido (DDoS) conocida como AISURU/Kimwolf ha sido vinculada a un ataque sin precedentes que alcanzó un pico de 31,4 terabits por segundo (Tbps) y duró apenas 35 segundos. Cloudflare, que detectó y mitigó automáticamente la actividad, indicó que forma parte de un número creciente de ataques DDoS hipervolumétricos HTTP perpetrados por la botnet en el cuarto trimestre de 2025. El ataque ocurrió en noviembre de 2025.
AISURU/Kimwolf también ha sido relacionada con otra campaña DDoS denominada La Noche Antes de Navidad, que comenzó el 19 de diciembre de 2025. Según Cloudflare, el tamaño promedio de los ataques DDoS hipervolumétricos durante la campaña fue de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps), con tasas máximas que alcanzaron 9 Bpps, 24 Tbps y 205 Mrps.
Los ataques DDoS aumentaron un 121% en 2025, alcanzando un promedio de 5.376 ataques mitigados automáticamente cada hora, según Omer Yoachimik y Jorge Pacheco de Cloudflare. En 2025, el número total de ataques DDoS se duplicó con creces, llegando a la asombrosa cifra de 47,1 millones. La empresa de infraestructura web señaló que mitigó 34,4 millones de ataques DDoS a nivel de red en 2025, en comparación con 11,4 millones en 2024. Solo en el cuarto trimestre de 2025, los ataques a nivel de red representaron el 78% de todos los ataques DDoS. En conjunto, el número de ataques DDoS aumentó un 31% respecto al trimestre anterior y un 58% respecto a 2024.
En el cuarto trimestre de 2025, los ataques hipervolumétricos aumentaron un 40% en comparación con el trimestre anterior, pasando de 1.304 a 1.824. En el primer trimestre de 2025 se registraron 717 ataques. El incremento en el número de ataques ha ido acompañado de un aumento en su tamaño, que ha crecido más de un 700% en comparación con los grandes ataques observados a finales de 2024.
AISURU/Kimwolf ha integrado más de 2 millones de dispositivos Android en su botnet, la mayoría de ellos televisores Android de segunda marca comprometidos, a menudo mediante la utilización de redes de proxy residenciales como IPIDEA. El mes pasado, Google interrumpió la red de proxy e inició acciones legales para eliminar docenas de dominios utilizados para controlar dispositivos y dirigir el tráfico a través de ellos. También se asoció con Cloudflare para interrumpir la resolución de dominios de IPIDEA, afectando su capacidad para comandar y controlar dispositivos infectados y comercializar sus productos.
Como parte del esfuerzo de interrupción liderado por Google, Cloudflare participó suspendiendo el acceso a muchas cuentas y dominios que estaban utilizando indebidamente su infraestructura, según informó Cloudflare a The Hacker News por correo electrónico. Los actores de amenazas intentaban distribuir malware y proporcionar mercados para personas que buscaban acceso a la red de proxies residenciales ilícitos.
Se estima que IPIDEA ha incorporado dispositivos utilizando al menos 600 aplicaciones Android troyanizadas que incluían varios kits de desarrollo de software (SDK) de proxy, y más de 3.000 binarios de Windows troyanizados que se hacían pasar por OneDriveSync o actualizaciones de Windows. Además, la empresa con sede en Pekín ha promocionado varias aplicaciones VPN y proxy que convertían silenciosamente los dispositivos Android de los usuarios en nodos de salida de proxy sin su conocimiento o consentimiento.
Además, se ha descubierto que los operadores gestionan al menos una docena de negocios de proxy residencial que se hacen pasar por servicios legítimos. Detrás de escena, todas estas ofertas están conectadas a una infraestructura centralizada bajo el control de IPIDEA.
Otras tendencias destacadas observadas por Cloudflare durante el cuarto trimestre de 2025 incluyen:
- Telecomunicaciones, proveedores de servicios y operadores fueron el sector más atacado, seguido de tecnología de la información, juegos de azar, videojuegos y software informático.
- China, Hong Kong, Alemania, Brasil, Estados Unidos, Reino Unido, Vietnam, Azerbaiyán, India y Singapur fueron los países más atacados.
- Bangladesh superó a Indonesia como la mayor fuente de ataques DDoS. Otras fuentes principales incluyeron Ecuador, Indonesia, Argentina, Hong Kong, Ucrania, Vietnam, Taiwán, Singapur y Perú.
Los ataques DDoS están creciendo rápidamente en sofisticación y tamaño, superando lo que antes era imaginable, según Cloudflare. Este panorama de amenazas en evolución presenta un desafío significativo para que muchas organizaciones puedan mantener el ritmo. Las organizaciones que actualmente dependen de dispositivos de mitigación locales o centros de limpieza bajo demanda podrían beneficiarse de reevaluar su estrategia de defensa.
