Fueron responsables de ataques DDoS globales récord de 31,4 Tbps
El Departamento de Justicia de Estados Unidos (DoJ) anunció el jueves la interrupción de la infraestructura de mando y control (C2) utilizada por varias botnets de Internet de las Cosas (IoT), como AISURU, Kimwolf, JackSkid y Mossad, como parte de una operación policial autorizada por un tribunal.
En el marco de esta iniciativa, las autoridades de Canadá y Alemania también se centraron en los operadores que se encontraban detrás de estas redes de bots, y varias empresas del sector privado, entre ellas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab, colaboraron en las labores de investigación.
"Las cuatro botnets lanzaron ataques de denegación de servicio distribuido (DDoS) dirigidos a víctimas en todo el mundo", declaró el Departamento de Justicia. "Algunos de estos ataques alcanzaron aproximadamente 30 terabits por segundo, lo que supuso un récord histórico".
En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf un ataque DDoS masivo de 31,4 Tbps ocurrido en noviembre de 2025 que duró solo 35 segundos. Hacia finales del año pasado, la botnet también fue responsable de una serie de ataques DDoS hipervolumétricos con un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).
El periodista independiente especializado en seguridad Brian Krebs también identificó al administrador de Kimwolf como Jacob Butler (alias Dort), de 23 años, originario de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la identidad de Dort desde 2021 y afirmó que alguien lo está suplantando tras haber comprometido su antigua cuenta.
Butler también declaró: "Pasa la mayor parte del tiempo en casa ayudando a su madre con las tareas domésticas porque tiene dificultades con el autismo y la interacción social". Según Krebs, el otro principal sospechoso es un joven de 15 años residente en Alemania. No se han anunciado detenciones.
Documentada por primera vez por XLab en diciembre de 2025, Kimwolf ha incorporado a su red más de 2 millones de dispositivos Android, la mayoría de los cuales son televisores inteligentes y decodificadores Android de marcas desconocidas que han sido comprometidos. Se trata de una versión para Android de otra botnet conocida como AISURU, que se sabe que está activa desde al menos agosto de 2024.
En total, se estima que las cuatro botnets han infectado no menos de 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o routers Wi-Fi, de los cuales cientos de miles se encuentran en Estados Unidos.
Cloudflare describió el tráfico máximo de ataques de las botnets AISURU y Kimwolf combinadas como equivalente a "la población combinada del Reino Unido, Alemania y España escribiendo simultáneamente una dirección web y pulsando la tecla 'Intro' al mismo tiempo".
"Se acusa a las botnets Kimwolf y JackSkid de atacar e infectar dispositivos que tradicionalmente están protegidos por cortafuegos y aislados del resto de internet. Los operadores de las botnets esclavizaron los dispositivos infectados", declaró el Departamento de Justicia. "Posteriormente, los operadores utilizaron un modelo de 'ciberdelincuencia como servicio' para vender el acceso a los dispositivos infectados a otros ciberdelincuentes".
