DDoS da record: siamo vicini all’Armageddon Digitale? L’analisi di Cloudflare

Negli ultimi mesi del 2025, il panorama delle minacce informatiche ha mostrato un’evoluzione sorprendente: gli attacchi DDoS non solo sono diventati più potenti, ma anche drasticamente più brevi. Una combinazione che rende la difesa ancora più complessa e che ha acceso i riflettori su nuove dinamiche operative delle botnet moderne.

Attacchi sempre più brevi, ma devastanti

Alla fine del 2025, Cloudflare ha rilevato una netta impennata di attacchi DDoS HTTP di grandi dimensioni, attribuiti in larga parte alla botnet AISURU/Kimwolf. L’episodio più emblematico risale a novembre, quando un singolo attacco ha toccato un picco di 31,4 Tbps, pur durando appena 35 secondi.

Nonostante la finestra temporale ridottissima, l’attacco è stato individuato e bloccato automaticamente. Secondo Cloudflare, si è trattato di uno dei numerosi attacchi “ipervolume” condotti dalla stessa botnet durante il quarto trimestre dell’anno.

Questa tendenza evidenzia un cambiamento chiaro: la forza bruta viene concentrata in intervalli sempre più brevi, riducendo i margini di reazione manuale e mettendo alla prova i sistemi di mitigazione automatica.

La campagna “the night before christmas”

AISURU/Kimwolf è stata collegata anche alla campagna denominata “The Night Before Christmas”, avviata il 19 dicembre 2025. In questa fase, i valori medi hanno raggiunto circa 3 miliardi di pacchetti al secondo, 4 Tbps e 54 milioni di richieste al secondo.

I picchi estremi sono stati ancora più impressionanti, con 9 miliardi di pacchetti al secondo, 24 Tbps e 205 milioni di richieste al secondo. Numeri che mostrano la capacità della botnet di scalare rapidamente l’intensità degli attacchi.

Parallelamente, il numero complessivo di attacchi DDoS è cresciuto in modo significativo. Omer Joachimik e Jorge Pacheco hanno stimato un aumento del 121% entro la fine del 2025, con una media di 5.376 attacchi bloccati automaticamente ogni ora.

Numeri, infrastrutture e settori colpiti

Nel corso del 2025, gli attacchi DDoS hanno superato quota 47,1 milioni. A livello di rete, Cloudflare ha mitigato 34,4 milioni di attacchi, contro gli 11,4 milioni registrati nel 2024. Nel solo quarto trimestre, questa tipologia ha rappresentato il 78% dell’attività DDoS totale.

Il volume complessivo è cresciuto del 31% su base trimestrale e del 58% rispetto all’anno precedente. Gli attacchi ipervolume sono aumentati del 40%, arrivando a 1.824 episodi, con dimensioni superiori di oltre il 700% rispetto ai grandi attacchi osservati a fine 2024.

Cloudflare ha inoltre analizzato l’infrastruttura di AISURU/Kimwolf, stimando oltre 2 milioni di dispositivi Android compromessi, soprattutto Android TV economici e spesso con jailbreak. La botnet ha sfruttato proxy residenziali come IPIDEA per aggirare i controlli di sicurezza.

Nel mese di gennaio, Google ha interrotto l’operatività di questa rete proxy e ha avviato un’azione legale per chiudere decine di domini usati per la gestione dei dispositivi. Google e Cloudflare hanno anche limitato la risoluzione dei domini IPIDEA, rendendo più difficile il controllo dei nodi infetti.

Secondo Cloudflare, IPIDEA avrebbe reclutato dispositivi tramite almeno 600 app Android trojanizzate con SDK proxy integrati e oltre 3.000 file binari Windows malevoli, camuffati da OneDriveSync o aggiornamenti di Windows. VPN e app proxy venivano usate per trasformare i dispositivi in nodi di uscita, spesso senza che gli utenti ne fossero consapevoli.

I settori più colpiti nel quarto trimestre del 2025 sono stati telecomunicazioni, ISP e operatori mobili, seguiti da IT, gioco d’azzardo, gaming e sviluppo software. Tra i Paesi più bersagliati figurano Cina, Hong Kong, Germania, Brasile, Stati Uniti, Regno Unito, Vietnam, Azerbaigian, India e Singapore, mentre il Bangladesh è emerso come principale fonte di traffico DDoS, superando l’Indonesia.

La ricerca e l’analisi di questi dati sono state condotte da Cloudflare, che ha fornito una visione dettagliata sull’evoluzione degli attacchi e sulle infrastrutture coinvolte.

Quello che emerge è uno scenario in cui la velocità e la scala diventano le armi principali degli attaccanti: pochi secondi possono bastare per generare un impatto enorme, segnando un’ulteriore accelerazione nella corsa tra chi attacca e chi difende la rete globale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research