La botnet distribuida de denegación de servicio (DDoS) conocida como AISURU/Kimwolf ha sido atribuida a un ataque sin precedentes que alcanzó un máximo de 31,4 terabits por segundo (Tbps) y duró sólo 35 segundos.
Cloudflare, que detectó y mitigó automáticamente la actividad, dijo que es parte de un número creciente de ataques DDoS HTTP hipervolumétricos montados por la botnet en el cuarto trimestre de 2025. El ataque tuvo lugar en noviembre de 2025.
AISURU/Kimwolf también se ha vinculado a otra campaña DDoS con nombre en código La noche antes de Navidad que comenzó el 19 de diciembre de 2025. Según Cloudflare, el tamaño promedio de los ataques DDoS hipervolumétricos durante la campaña fue de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 solicitudes por segundo (Mrps), con velocidades máximas de 9 Bpps, 24 Tbps y 205 Mrps.
«Los ataques DDoS aumentaron un 121% en 2025, alcanzando un promedio de 5.376 ataques mitigados automáticamente cada hora», dijeron Omer Yoachimik y Jorge Pacheco de Cloudflare. «En 2025, el número total de ataques DDoS se duplicó hasta alcanzar la increíble cifra de 47,1 millones».
La empresa de infraestructura web señaló que mitigó 34,4 millones de ataques DDoS a la capa de red en 2025, en comparación con 11,4 millones en 2024. Solo en el cuarto trimestre de 2025, los ataques DDoS a la capa de red representaron el 78% de todos los ataques DDoS. En conjunto, el número de ataques DDoS aumentó un 31% con respecto al trimestre anterior y un 58% con respecto a 2024.
En el cuarto trimestre de 2025, los ataques hipervolumétricos aumentaron un 40% en comparación con el trimestre anterior, pasando de 1.304 a 1.824. Se registraron un total de 717 ataques en el primer trimestre de 2025. El aumento en el número de ataques se ha complementado con un aumento en el tamaño de estos ataques, con un crecimiento de más del 700 % en comparación con los grandes ataques observados a finales de 2024.
AISURU/Kimwolf ha atrapado a más de 2 millones de dispositivos Android, la mayoría de los cuales son televisores Android de otra marca comprometidos, en su botnet, a menudo mediante túneles a través de redes proxy residenciales como IPIDEA. El mes pasado, Google interrumpió la red de proxy e inició acciones legales para eliminar docenas de dominios utilizados para controlar los dispositivos y el tráfico de proxy a través de ellos.
También se asoció con Cloudflare para alterar la resolución de dominio de IPIDEA, lo que afectó su capacidad para comandar y controlar dispositivos infectados y comercializar sus productos.
Se evalúa que IPIDEA tiene dispositivos inscritos que utilizan al menos 600 aplicaciones de Android troyanizadas que incorporan varios kits de desarrollo de software proxy (SDK) y más de 3000 archivos binarios de Windows troyanizados que se hacen pasar por OneDriveSync o actualizaciones de Windows. Además, la empresa con sede en Beijing ha anunciado varias aplicaciones VPN y proxy que silenciosamente convertían los dispositivos Android de los usuarios en nodos de salida proxy sin su conocimiento o consentimiento.
Es más, se ha descubierto que los operadores administran al menos una docena de negocios de proxy residenciales que se hacen pasar por servicios legítimos. Detrás de escena, todas estas ofertas están conectadas a una infraestructura centralizada que está bajo el control de IPIDEA.
Algunas de las otras tendencias notables observadas por Cloudflare durante el cuarto trimestre de 2025 son las siguientes:
- Las telecomunicaciones, los proveedores de servicios y los operadores surgieron como el sector más atacado, seguido por los sectores verticales de tecnología de la información, juegos de azar, juegos y software informático.
- China, Hong Kong, Alemania, Brasil, Estados Unidos, Reino Unido, Vietnam, Azerbaiyán, India y Singapur fueron los países más atacados.
- Bangladesh superó a Indonesia y se convirtió en la mayor fuente de ataques DDoS. Otras fuentes importantes fueron Ecuador, Indonesia, Argentina, Hong Kong, Ucrania, Vietnam, Taiwán, Singapur y Perú.
«Los ataques DDoS están creciendo rápidamente en sofisticación y tamaño, superando lo que antes era imaginable», dijo Cloudflare. «Este panorama de amenazas en evolución presenta un desafío importante para muchas organizaciones a la hora de mantener el ritmo. Las organizaciones que actualmente dependen de dispositivos de mitigación locales o centros de depuración bajo demanda pueden beneficiarse de una reevaluación de su estrategia de defensa».