O botnet Aisuru, com sua variante Android Kimwolf, executou a maior campanha de DDoS publicamente divulgada até hoje, atingindo um pico de 31,4 terabits por segundo (Tbps). A ofensiva — chamada pelo relatório de "The Night Before Christmas" — combinou ataques de rede em escala hiper‑volumétrica com inundações HTTP de alto volume.
Escopo e distribuição
Segundo a cobertura da Cyber Security News, a campanha começou em 19 de dezembro de 2025 e consistiu em milhares de ataques individuais com padrões variados. O pico de 31,4 Tbps supera o recorde anterior de 29,7 Tbps atribuído ao mesmo conjunto de infraestruturas.
- Fonte do tráfego: milhões de dispositivos Android TV não oficiais comprometidos, explorados pela variante Kimwolf.
- Alvos: infraestrutura e clientes da Cloudflare; setores de jogos foram os mais afetados (42,5% dos ataques hiper‑volumétricos), seguidos por TI e serviços (15,3%).
- Distribuição geográfica: EUA recebeu 30,8% dos ataques de rede; Brasil figurou com 1,9% dos alvos.
Vetor e infraestrutura de ataque
A campanha explorou caixas Android TV não oficializadas como fontes massivas de tráfego. Análises citadas no relatório indicam preferências por rajadas curtas e intensas: 57,2% dos ataques duraram entre 60 e 120 segundos, enquanto apenas 6% ultrapassaram dois minutos, sinalizando uma tática de saturação rápida antes de respostas de mitigação.
Do ponto de vista de origem, houve uma mudança notável nos maiores provedores que abrigaram instâncias de origem do tráfego — provedores de nuvem e operadoras aparecem entre as fontes principais, incluindo nomes como DigitalOcean, Microsoft e outros ASNs comerciais.
Capacidade de mitigação e impacto operacional
Cloudflare reportou uma capacidade total de mitigação de 449 Tbps distribuída em 330 pontos de presença; o pico de 31,4 Tbps consumiu cerca de 7% dessa capacidade. O relatório destaca que concorrentes com capacidades declaradas menores (Akamai Prolexic, Netscout, Imperva) teriam visto suas capacidades teóricas saturadas por esse tipo de ataque.
A plataforma de mitigação da Cloudflare foi capaz de neutralizar automaticamente grande parte do tráfego, e o novo sistema de detecção em tempo real identificou e mitigou automaticamente mais de 50% dos ataques HTTP sem intervenção humana.
Repercussões e limites da análise
O episódio demonstra um avanço na escala e sofisticação de campanhas DDoS que reutilizam dispositivos de consumo (Android TV) como vetores, aumentando a necessidade de coordenação entre provedores de conectividade, plataformas de nuvem e serviços de mitigação. O relatório também aponta que, embora a Cloudflare tenha suportado a maior parte da carga, organizações dependentes de provedores com menor capacidade enfrentariam riscos existenciais.
O relatório não quantifica vítimas individuais ou prejuízos financeiros diretos por empresa; tampouco apresenta evidências públicas de subversão de firmware nesses dispositivos além do comprometimento para fins de tráfego de DDoS.
Observações para defensores
- Reavaliar acordos de serviço e capacidades de mitigação com provedores anti‑DDoS, considerando picos hiper‑volumétricos.
- Monitorar e filtrar anomalias no tráfego de entrada por origem geográfica e por ASNs identificados como abusados.
- Colaboração com ISPs e provedores de nuvem para identificação e remoção de instâncias abusadas.
Fontes citadas: Cyber Security News (relatório sobre a campanha Aisuru/Kimwolf e estatísticas agregadas de tráfego).