La botnet Kimwolf, nota anche come Aisuru, ha generato nel 2025 il più potente attacco DDoS mai osservato, raggiungendo un picco di 31,4 terabit al secondo. Il dato emerge dal report annuale di Cloudflare e rappresenta un punto di svolta nella scala operativa delle minacce di rete. L’attacco, durato circa 35 secondi, è stato mitigato automaticamente, ma la sua intensità segna una cesura netta rispetto a tutto ciò che era stato registrato negli anni precedenti.
Nel complesso, il 2025 ha visto 47,1 milioni di attacchi DDoS, con un incremento del 121% su base annua. Gli attacchi a livello network-layer hanno raggiunto quota 34,4 milioni, triplicando i volumi del 2024. Non si tratta solo di una crescita quantitativa: la dimensione media e massima degli attacchi è aumentata in modo non lineare, rendendo obsolete molte architetture difensive tradizionali.
Come opera la botnet Kimwolf
La botnet Kimwolf è una infrastruttura massiva e distribuita, composta da oltre due milioni di dispositivi infetti, in larga parte TV Android off-brand e altri device consumer caratterizzati da firmware obsoleti e assenza di aggiornamenti di sicurezza. Questi dispositivi non vengono impiegati esclusivamente per generare traffico diretto, ma soprattutto come proxy residenziali, incanalando e mascherando il traffico di attacco attraverso reti apparentemente legittime.
La diffusione del malware avviene tramite centinaia di applicazioni Android trojanizzate e migliaia di binari Windows falsi, spesso camuffati da aggiornamenti OneDrive. In molti casi le app incorporano SDK proxy, trasformando il dispositivo infetto in un nodo di tunneling utilizzabile sia per DDoS sia per servizi di proxying illecito. Questo modello consente agli operatori della botnet di monetizzare l’infrastruttura e, allo stesso tempo, di lanciare attacchi estremamente difficili da attribuire.
Un ruolo centrale è stato giocato da reti di proxy residenziali come Ipidea, sfruttate per distribuire il traffico su migliaia di ASN e moltiplicare l’effetto volumetrico. La combinazione tra dispositivi consumer compromessi e infrastrutture proxy ha reso Kimwolf una delle botnet più elastiche mai osservate.
Il record dei 31,4 Tbps e la campagna di fine 2025
Il picco di 31,4 Tbps, registrato nel novembre 2025, non è stato un evento isolato. Durante la campagna denominata “The Night Before Christmas”, attiva dal 19 dicembre 2025, Cloudflare ha mitigato 902 attacchi DDoS attribuiti alla botnet Kimwolf. Le metriche medie di questa operazione mostrano già una scala fuori standard, con circa 3 miliardi di pacchetti al secondo, 4 Tbps di traffico e 54 milioni di richieste al secondo.
I valori massimi osservati sono ancora più indicativi dell’evoluzione in corso. Alcuni attacchi hanno raggiunto 9 miliardi di pacchetti al secondo, 24 Tbps e 205 milioni di richieste al secondo. Nel quarto trimestre del 2025, gli attacchi hyper-volumetrici sono cresciuti del 40%, arrivando a 1.824 eventi, mentre le dimensioni hanno registrato un aumento di oltre 700% rispetto alla fine del 2024.
Questi attacchi combinano vettori packet-intensive, bit-intensive e request-intensive, progettati per saturare contemporaneamente banda, capacità di instradamento e risorse applicative. Una strategia che mette sotto stress non solo i target, ma anche i provider di connettività e le infrastrutture di backbone.
Settori e paesi più colpiti
Nel quarto trimestre 2025, i settori più colpiti sono stati telecomunicazioni, carrier e fornitori di servizi, seguiti da informatica e servizi, gioco d’azzardo, gaming e software enterprise. In forte crescita anche gli attacchi contro piattaforme di intelligenza artificiale generativa, considerate obiettivi ad alto valore strategico e mediatico.
Sul piano geografico, Cina e Hong Kong guidano la classifica dei paesi più colpiti, con Hong Kong che registra una rapida ascesa. Seguono Germania, Brasile e Stati Uniti, mentre il Regno Unito mostra uno dei maggiori incrementi percentuali. Dal lato delle sorgenti, Cloudflare individua Bangladesh come principale origine del traffico malevolo, seguito da Ecuador, Indonesia, Argentina e Hong Kong, con un ampio uso di piattaforme cloud e provider internazionali come moltiplicatori di traffico.
Interruzione delle infrastrutture di supporto
Alla mitigazione tecnica si è affiancata un’azione di contrasto infrastrutturale. Google è intervenuta contro reti di proxy residenziali abusate, sequestrando domini e avviando azioni legali, mentre Cloudflare ha sospeso account e domini utilizzati per le campagne DDoS. Questi interventi hanno ridotto temporaneamente la capacità operativa della botnet, ma non ne hanno eliminato il modello di fondo.
Cloudflare sottolinea che tutti gli attacchi documentati sono stati mitigati in modo autonomo, senza necessità di interventi manuali. L’azienda mette a disposizione protezione DDoS illimitata e un feed gratuito di threat intelligence sulle botnet, adottato da centinaia di reti per identificare e bloccare rapidamente IP abusivi.
Cosa cambia nello scenario DDoS
Il caso della botnet Kimwolf dimostra che i DDoS sono entrati in una fase industriale e sistemica. Attacchi da decine di terabit al secondo rendono impraticabili difese basate su capacità limitate o su architetture locali. La mitigazione efficace richiede reti globali distribuite, automazione completa e capacità di assorbire volumi che superano l’intero traffico di molti stati nazionali. Il 2025 ha chiarito che il vero limite non è più la potenza dell’attacco, ma la capacità di difesa su scala planetaria. E secondo le proiezioni di Cloudflare, nel 2026 questa soglia è destinata a essere superata di nuovo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
