Botnet AISURU/Kimwolf alcança 31,4 Tbps em ataque DDoS e marca transição para era dos ataques hiper-volumétricos
A botnet conhecida como AISURU, também chamada de Kimwolf, foi responsável por um dos episódios mais impressionantes da história recente da segurança digital. Em novembro de 2025, ela realizou um ataque de negação de serviço distribuído (DDoS) que atingiu o pico de 31,4 terabits por segundo (Tbps) e durou cerca de 35 segundos. Ainda que extremamente curto, o impacto em volume foi tão grande que o incidente passou a ser classificado como um marco na nova geração de ataques hiper-volumétricos.
Esse bombardeio massivo foi automaticamente identificado e neutralizado pela infraestrutura da Cloudflare, sem interrupção significativa de serviços para os clientes. A empresa ressaltou que o caso não foi um ponto fora da curva, mas sim parte de uma mudança estrutural no cenário de ameaças: ataques DDoS baseados em HTTP estão se tornando mais volumétricos, mais curtos e muito mais intensos, sobretudo no quarto trimestre de 2025.
Além do ataque recorde de 31,4 Tbps, a botnet AISURU/Kimwolf esteve diretamente ligada a outra operação relevante, apelidada de “The Night Before Christmas”, iniciada em 19 de dezembro de 2025. Durante essa campanha, observou-se uma regularidade impressionante nas ofensivas: médias em torno de 3 bilhões de pacotes por segundo (Bpps), 4 Tbps de tráfego e 54 milhões de requisições por segundo (Mrps). Nos momentos de pico, os números saltaram para 9 Bpps, 24 Tbps e 205 Mrps, consolidando a botnet como uma das mais agressivas e escaláveis já documentadas.
Os dados consolidados de 2025 revelam que não se trata de casos isolados. Segundo medições da Cloudflare, o volume total de ataques DDoS cresceu 121% no ano, alcançando uma média de 5.376 ataques bloqueados automaticamente a cada hora. Em números absolutos, o total de ofensivas mais que dobrou em relação a 2024, atingindo 47,1 milhões de ataques. Somente no nível de rede, foram 34,4 milhões de incidentes DDoS mitigados em 2025, frente a 11,4 milhões registrados no ano anterior, o que mostra uma aceleração clara na escala e na frequência.
O quarto trimestre de 2025 concentrou a maior parte dessa explosão de atividade maliciosa. Nesse período, 78% de todos os ataques DDoS em nível de rede ocorreram, representando um aumento de 31% em relação ao terceiro trimestre e de 58% se comparado ao mesmo intervalo de 2024. Quando se observa apenas os ataques hiper-volumétricos — aqueles com volumes extremos de tráfego — o crescimento é ainda mais preocupante: o número de incidentes passou de 1.304 para 1.824, uma alta de 40% em poucos meses. Em termos de volume, essas ofensivas ficaram mais de 700% maiores do que os grandes ataques registrados no fim de 2024.
Por trás dessa capacidade de gerar tráfego em escala colossal está o comprometimento em massa de dispositivos conectados. As análises apontam que a AISURU/Kimwolf conseguiu controlar mais de 2 milhões de dispositivos Android, em especial TVs com Android genérico e equipamentos de marcas pouco conhecidas. Esses dispositivos costumam ser mais expostos, com falhas de atualização e configurações frágeis de segurança, o que os torna alvos naturais para campanhas automatizadas de infecção. Muitos foram explorados por meio de redes de proxies residenciais, com destaque para a infraestrutura associada à IPIDEA.
Em resposta a essa ameaça, o Google anunciou, semanas antes do grande ataque, a interrupção da operação da rede de proxies ligada à IPIDEA e iniciou medidas judiciais para derrubar dezenas de domínios usados no comando e controle de dispositivos infectados. Esse esforço incluiu uma atuação em conjunto com a Cloudflare para bloquear a resolução de domínios relacionados ao serviço de proxies, afetando diretamente a habilidade do grupo criminoso de manter e monetizar o controle sobre os dispositivos comprometidos.
A própria Cloudflare relatou que suspendeu contas e domínios que abusavam de sua infraestrutura para fins ilícitos, incluindo tentativas de distribuição de malware e comercialização de acesso a redes de proxies residenciais ilegais. Com isso, parte importante da cadeia de comando, distribuição e monetização da botnet foi desestabilizada, ainda que não completamente desmantelada.
As investigações indicam que a IPIDEA e grupos associados teriam recrutado dispositivos por meio de, ao menos, 600 aplicativos Android adulterados com código malicioso (trojanizados). Esses apps muitas vezes se passavam por ferramentas legítimas, utilitários ou versões modificadas de aplicativos populares. Além disso, foram identificados mais de 3.000 binários maliciosos para Windows, disfarçados como atualizações de sistema ou programas de uso corporativo, incluindo ferramentas que imitavam soluções como o OneDriveSync. Também foram detectados aplicativos de VPN e proxy que, sem qualquer aviso ao usuário, convertiam os dispositivos Android em nós de saída para a rede criminosa.
No panorama setorial, o quarto trimestre de 2025 evidenciou uma clara concentração de ataques DDoS sobre infraestruturas críticas de comunicação. O segmento de telecomunicações foi o mais atingido, seguido por provedores de serviços, empresas de tecnologia da informação, plataformas de apostas, ambientes de jogos online e desenvolvedores de software. São setores que, em geral, dispõem de alta exposição na internet e dependem de disponibilidade contínua, o que os torna alvos atrativos para extorsão, sabotagem ou demonstrações de força por parte de grupos maliciosos.
Do ponto de vista geográfico, diversos países figuraram tanto como vítimas quanto como pontos de origem do tráfego malicioso. China, Brasil, Estados Unidos, Alemanha e Reino Unido aparecem entre os destinos mais atacados, revelando a atratividade de mercados grandes e com forte presença digital. No lado da origem, Bangladesh ultrapassou a Indonésia como principal foco de ataques DDoS, o que pode estar relacionado à combinação de infraestrutura vulnerável, grandes quantidades de dispositivos comprometidos e uso intensivo de serviços de internet baratos e pouco protegidos.
Esse conjunto de fatores vem consolidando um novo patamar de risco. Segundo a Cloudflare, os ataques DDoS estão evoluindo não apenas em volume, mas também em sofisticação, coordenação e automação. Limites que há poucos anos eram considerados praticamente inalcançáveis estão sendo superados em janelas de tempo cada vez menores, com campanhas que duram segundos, mas geram picos de tráfego equivalentes ao consumo inteiro de países de médio porte.
Nesse contexto, organizações que ainda confiam somente em soluções locais — como firewalls tradicionais, balanceadores de carga ou appliances instalados em data centers — ou em centros de scrubbing ativados apenas sob demanda sofrem uma desvantagem crescente. Essas abordagens tendem a não acompanhar a velocidade e a escala dos ataques hiper-volumétricos atuais, que exigem mitigação distribuída, capacidade de absorção em nível global e automação em milissegundos. A recomendação predominante entre especialistas é revisar a arquitetura de defesa, adotando modelos de proteção sempre ativos, com uso intensivo de cloud e inteligência de tráfego em tempo real.
Para empresas brasileiras, o cenário descrito pelos incidentes envolvendo a AISURU/Kimwolf funciona como um alerta estratégico. O Brasil aparece entre os países mais visados em ataques DDoS, e isso se deve tanto ao tamanho do mercado digital quanto à penetração de dispositivos conectados pouco protegidos, como smart TVs, roteadores domésticos e dispositivos de IoT. Organizações locais, especialmente de telecom, e-commerces, fintechs e provedores de serviços online, precisam considerar a proteção contra DDoS como parte central de sua gestão de risco e não mais como um complemento eventual.
Na prática, isso implica revisar rotinas de monitoramento, estabelecer planos formais de resposta a incidentes de DDoS, realizar testes de estresse periódicos em aplicações críticas e integrar equipes de infraestrutura e segurança em uma visão conjunta de disponibilidade. Também é fundamental mapear dependências de terceiros — como provedores de nuvem, CDNs, gateways de pagamento e APIs externas — já que ataques direcionados a parceiros podem gerar indisponibilidade indireta para o negócio.
Outro ponto-chave exposto pelo caso AISURU/Kimwolf é o papel dos dispositivos de usuários finais na composição de grandes botnets. Fabricantes de eletrônicos e integradores de soluções baseadas em Android e outros sistemas embarcados precisam elevar o padrão mínimo de segurança: ciclos de atualização mais claros, adoção de boot seguro, hardening de configurações padrão e exigência de autenticação robusta desde a primeira configuração são medidas que reduzem a superfície de ataque. Já para usuários, manter firmware atualizado, evitar instalar aplicativos de origem duvidosa e desabilitar recursos desnecessários são passos simples, mas que ajudam a diminuir o potencial de recrutamento para botnets.
Do lado regulatório, a escalada de ataques hiper-volumétricos tende a pressionar governos e órgãos de normatização a discutir exigências mínimas de segurança para dispositivos conectados e para serviços que operam como proxies ou intermediários de tráfego. Embora respostas puramente regulatórias não sejam suficientes para frear a evolução do cibercrime, elas podem criar incentivos para que fabricantes, provedores e grandes plataformas adotem boas práticas de segurança por padrão, reduzindo a base disponível para a formação de botnets de larga escala.
Em termos de tendência, a experiência recente indica que ataques de curtíssima duração, porém extremamente intensos, continuarão a crescer. Esse formato dificulta a detecção manual e torna obsoleta qualquer estratégia que dependa de intervenção humana em tempo real. A automação da defesa, o uso de modelos de detecção comportamental, a correlação global de eventos e a redistribuição inteligente de tráfego surgem como elementos obrigatórios de qualquer arquitetura moderna de proteção.
O episódio da AISURU/Kimwolf, com seu pico de 31,4 Tbps e campanhas subsequentes como a “The Night Before Christmas”, não é apenas um número impressionante em relatórios técnicos. Ele simboliza a consolidação de uma nova fase nos ataques DDoS: hiper-volumétrica, distribuída e alimentada por milhões de dispositivos comprometidos ao redor do mundo. Para organizações, fornecedores de tecnologia, reguladores e usuários, a mensagem é clara: a resiliência digital dependerá, cada vez mais, da capacidade de antecipar, absorver e responder a esse tipo de ameaça em escala global.