Red de bots AISURU/Kimwolf
La botnet de denegación de servicio distribuida (DDoS), identificada como AISURU/Kimwolf, se ha vinculado a un ataque sin precedentes que alcanzó un máximo de 31,4 terabits por segundo (Tbps). A pesar de su extrema intensidad, el ataque fue breve, con una duración de tan solo 35 segundos. El incidente ocurrió en noviembre de 2025 y se ha consolidado como el mayor ataque DDoS jamás observado.
Tabla de contenido
Aumento de los ataques HTTP hipervolumétricos
Los investigadores de seguridad han identificado este evento como parte de un aumento más amplio en la actividad hipervolumétrica de DDoS HTTP impulsada por AISURU/Kimwolf durante el cuarto trimestre de 2025. Estos ataques representan una tendencia creciente hacia ataques de corta duración pero de rendimiento extraordinariamente alto diseñados para abrumar la infraestructura moderna de Internet antes de que las defensas tradicionales puedan reaccionar por completo.
Campaña 'La noche antes de Navidad'
AISURU/Kimwolf también se ha relacionado con una operación posterior a gran escala conocida como "La Noche Antes de Navidad", que comenzó el 19 de diciembre de 2025. Durante esta campaña, los ataques hipervolumétricos promediaron 3 mil millones de paquetes por segundo (Bpps), 4 Tbps de ancho de banda y 54 millones de solicitudes por segundo (Mrps). Los niveles máximos alcanzaron los 9 Bpps, 24 Tbps y 205 Mrps, lo que subraya la capacidad de la botnet para generar volúmenes de tráfico sostenidos y extremos.
Crecimiento explosivo de la actividad DDoS en 2025
La actividad DDoS se aceleró drásticamente a lo largo de 2025, con un aumento interanual del 121 %. En promedio, se mitigaron automáticamente 5376 ataques cada hora. El volumen anual total se duplicó con creces, alcanzando aproximadamente 47,1 millones de ataques. Los ataques a la capa de red representaron una parte sustancial de este crecimiento, con 34,4 millones mitigados en 2025, en comparación con los 11,4 millones de 2024. Solo en el cuarto trimestre, los ataques a la capa de red representaron el 78 % de todos los incidentes DDoS, lo que refleja un aumento del 31 % con respecto al trimestre anterior y del 58 % en comparación con 2024.
Escalada en escala y frecuencia
El último trimestre de 2025 registró un aumento del 40 % en los ataques hipervolumétricos en comparación con el trimestre anterior, pasando de 1304 a 1824 incidentes. A principios de año, solo se registraron 717 ataques de este tipo en el primer trimestre. Más allá de la frecuencia, la magnitud de los ataques también se expandió significativamente, con un crecimiento de más del 700 % en comparación con los ataques a gran escala observados a finales de 2024.
Expansión de botnets a través de dispositivos comprometidos
Se estima que AISURU/Kimwolf controla una botnet de más de dos millones de dispositivos Android. La mayoría son televisores Android de marcas desconocidas, comprometidos, que se han registrado y enrutado de forma encubierta a través de redes proxy residenciales como IPIDEA. Estos servicios proxy se han utilizado para ocultar el origen de los ataques y amplificar el tráfico.
Interrupción de la infraestructura de proxy y acciones legales
En respuesta a estas actividades, expertos interrumpieron recientemente la red de proxy residencial de IPIDEA e iniciaron acciones legales para desmantelar docenas de dominios utilizados para operaciones de comando y control y proxy de tráfico. La desactivación también interfirió con las capacidades de resolución de dominios de IPIDEA, lo que redujo significativamente su capacidad para administrar dispositivos infectados y comercializar sus servicios de proxy. Numerosas cuentas y dominios fueron suspendidos tras ser identificados como facilitadores de la distribución de malware y el acceso ilícito a redes de proxy residenciales.
Distribución de malware e inscripción de servidores proxy encubiertos
Las investigaciones indican que IPIDEA registró dispositivos mediante al menos 600 aplicaciones Android troyanizadas que integraban kits de desarrollo de software proxy, así como más de 3000 binarios de Windows troyanizados camuflados como herramientas de sincronización de OneDrive o actualizaciones de Windows. Además, la operación con sede en Pekín publicitaba aplicaciones VPN y proxy que convertían silenciosamente los dispositivos Android de los usuarios en nodos de salida proxy sin su conocimiento ni consentimiento. Los operadores también han sido vinculados a al menos una docena de servicios proxy residenciales que se presentaban como ofertas legítimas, pero que en última instancia alimentaban una infraestructura centralizada controlada por IPIDEA.
Principales tendencias de DDoS observadas en el cuarto trimestre de 2025
Sectores objetivo, regiones afectadas y orígenes de los ataques: Los proveedores y operadores de telecomunicaciones fueron las organizaciones más atacadas, seguidos de los sectores de tecnologías de la información, juegos de azar, videojuegos y software informático. Entre los países más atacados se encuentran China, Hong Kong, Alemania, Brasil, Estados Unidos, Reino Unido, Vietnam, Azerbaiyán, India y Singapur. Bangladesh se convirtió en la principal fuente de tráfico DDoS, superando a Indonesia, junto con Ecuador, Argentina, Hong Kong, Ucrania, Taiwán, Singapur y Perú.
Implicaciones para las estrategias defensivas
Los ataques DDoS están aumentando rápidamente, tanto en sofisticación como en escala, superando con creces los límites previstos. Este panorama de amenazas en constante evolución plantea serios desafíos para las organizaciones que intentan mantener el ritmo con las defensas tradicionales. Las empresas que siguen dependiendo principalmente de dispositivos de mitigación locales o centros de depuración bajo demanda podrían necesitar reevaluar sus estrategias de protección contra DDoS para abordar la realidad de los ataques hipervolumétricos y de corta duración.
