Em novembro de 2025 foi detectado um assalto digital que voltou a evidenciar a capacidade de dano das grandes botnets: um ataque DDoS impulsionado pelo enxame conhecido como AISURU ou Kimwolf atingiu um pico de tráfego de mais de 31 Tbps e, embora sua duração fosse breve – apenas 35 segundos –, bastou para quebrar recordes e forçar automatismos de mitigação a entrar em ação.
Não se tratou de um pulso isolado mas de uma série de campanhas cada vez mais volumétricas e sofisticadas. De acordo com o relatório público da Cloudflare sobre a actividade no quarto trimestre de 2025, este tipo de incidentes faz parte de um padrão: vagas de pedidos de HTTP e pacotes por segundo, cujo tamanho e frequência rapidamente escalaram no último ano. A própria análise da Cloudflare documenta ataques com taxas médias em algumas campanhas da ordem de vários biliões de pacotes por segundo e picos de dezenas de terabits por segundo, números que antes se viam como praticamente inimagináveis. Mais informações e dados do relatório podem ser consultados no blog Cloudflare: DDoS Threat Report Q4 2025.
O motor por trás de boa parte dessa força bruta não são centros de servidores sofisticados, mas dispositivos cotidianos que foram sequestrados: AISURU/Kimwolf conseguiu incorporar à sua rede mais de dois milhões de móveis e aparelhos com Android, com especial incidência em caixas de TV Android de marcas econômicas. Muitos desses equipamentos atuavam como “nodos residenciais” que reenviavam tráfico malicioso desde endereços IP domésticos, o que complica sua detecção e facilita que os ataques pareçam sair de usuários legítimos.
A ameaça amplificou-se por um ecossistema comercial opaco. Investigações ligadas a este fenómeno apontaram para redes de proxies residenciais e empresas que comercializam serviços de saída ("residential proxies") como facilitadoras: seus SDKs e aplicações troceadas permitiram que dispositivos fossem enrolados em larga escala sem o consentimento dos proprietários. Diante disso, gigantes como o Google intervieram para desativar partes dessa infraestrutura e colaborar em ações técnicas e legais destinadas a cortar a comunicação entre controladores e dispositivos infectados.
Para entender a magnitude do problema convém olhar os números agregados: 2025 foi um ano em que a atividade DDoS disparou. O Cloudflare contabilizou dezenas de milhões de ataques atenuados ao longo do ano, com um crescimento anual que mais do que duplicou o conteo em relação ao ano anterior, e com uma concentração notável de incidentes no último trimestre. O relatório também mostra que a maioria das agressões se originaram a nível de rede - os chamados ataques de camada de rede - e que setores como telecomunicações, fornecedores de serviços e software estiveram entre os mais atingidos. A análise de tendências e números pode ser consultada no radar e no relatório do Cloudflare: Cloudflare Radar e o relatório completo.
Em paralelo, meios especializados vêm contando histórias concretas sobre como pequenos aparelhos nas casas se tornam peças de gigantescas botnets. Uma revisão sobre o risco que representam os televisores e caixas de streaming Android pode ser lida em uma peça de pesquisa publicada em KrebsOnSecurity, que documenta como dispositivos baratos e mal geridos se transformam em multiplicadores de tráfego malicioso: Is your Android TV streaming box part of a botnet?.
O que podem e devem fazer as organizações e os usuários? Para empresas e operadores que dependem da disponibilidade contínua, a lição é clara: a defesa tradicional em cajitas locais ou centros de depuração sob demanda pode não ser suficiente contra ataques hipervolumétricos que se midem em terabits e em milhares de milhões de pacotes por segundo. As soluções baseadas na nuvem e nas redes de distribuição global com capacidade de absorção e mitigação automática tornaram-se uma peça crítica do puzzle defensivo. Ao mesmo tempo, no plano do usuário final, a higiene digital básica —evitar instalações de aplicações não verificadas, atualizar firmware, e optar por hardware com suporte reputado — reduz a superfície de ataque e a probabilidade de um dispositivo terminar em uma botnet.
Além disso, operadores e fabricantes devem tomar medidas proativas: aplicar mecanismos de verificação em cadeias de fornecimento de software, restringir privilégios de apps, oferecer atualizações simples e forçar sistemas de segurança em equipamentos com funções de rede. Os prestadores de serviços que gerem tráfego em massa devem rever os seus acordos, capacidades de escala e coordenação com parceiros de segurança para responder a picos súbitos de tráfego.
O panorama de 2025 demonstra que os ataques DDoS deixam de ser meros episódios de desconforto e se tornam instrumentos que podem afetar a economia digital em grande escala. A combinação de dispositivos inseguros, mercados que monetizam proxies residenciais e ferramentas automatizadas para gerar tráfego malicioso aumentou o limiar do que as organizações devem antecipar. A resposta passa por modernizar defesas, parcerias público-privadas e melhorar a robustez das equipas ligadas às nossas casas.
Se você quer aprofundar números, técnicas de mitigação e recomendações concretas para diferentes tipos de organizações, o relatório Cloudflare é um bom ponto de partida e o artigo do KrebsOnSecurity ajuda a compreender como os dispositivos domésticos alimentam estas ameaças: Cloudflare Q4 2025 DDoS report e KrebsOnSecurity sobre Android TV e botnets.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...