Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware KadNap

Malware KadNap

Por Mezo en Software malicioso
Traducir a:

Investigadores de ciberseguridad han identificado una nueva cepa de malware, conocida como KadNap, que ataca principalmente a routers Asus y los recluta para una botnet diseñada para redirigir tráfico malicioso de internet. Observado por primera vez en agosto de 2025, el malware ya ha infectado más de 14 000 dispositivos en todo el mundo. Los análisis indican que más del 60 % de los sistemas comprometidos se encuentran en Estados Unidos, mientras que se han detectado grupos de infecciones más pequeños en Taiwán, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y España.

Aunque los routers Asus parecen ser los objetivos principales, las investigaciones muestran que los operadores detrás de KadNap han ampliado sus esfuerzos para incluir una gama más amplia de dispositivos de red perimetral. Esta expansión sugiere un intento deliberado de maximizar el tamaño y la resiliencia de la infraestructura de la botnet.

Ocultación entre pares mediante la tecnología Kademlia

Una característica distintiva del funcionamiento de KadNap es su dependencia de una implementación modificada del protocolo de Tabla Hash Distribuida (DHT) de Kademlia. Este protocolo está integrado en una arquitectura peer-to-peer que oculta la ubicación de la infraestructura de la botnet ocultando los sistemas de comando dentro de nodos distribuidos.

Los dispositivos comprometidos se comunican a través de la red DHT para descubrir y conectarse a servidores de Comando y Control (C2). Al dispersar la comunicación en un entorno descentralizado, el malware evita depender de un único punto de infraestructura, lo que dificulta considerablemente las estrategias tradicionales de detección y desmantelamiento. Este enfoque combina eficazmente el tráfico malicioso con la actividad legítima de la red peer-to-peer, lo que dificulta considerablemente la monitorización y la interrupción de la actividad para los defensores.

Mecanismo de infección y estrategia de persistencia

La cadena de infección comienza con un script de shell llamado aic.sh, que se descarga desde un servidor de comandos alojado en la dirección IP 212.104.141.140. Este script inicia el proceso de integración del dispositivo comprometido en el ecosistema peer-to-peer de la botnet.

El script establece la persistencia mediante la creación de una tarea cron programada que recupera el mismo script cada 55 minutos. Cada vez que se descarga, el script se renombra a '.asusrouter' y se ejecuta. Una vez asegurada la persistencia, el script descarga un binario ELF malicioso, lo renombra kad y lo ejecuta, implementando así la carga útil del malware KadNap. El malware ha sido diseñado para operar en dispositivos con procesadores ARM y MIPS, lo que le permite comprometer una amplia gama de arquitecturas de routers.

Descubrimiento de pares basado en el tiempo y coordinación de redes

KadNap incorpora un mecanismo para sincronizar la actividad en su red descentralizada. El malware se conecta a un servidor NTP (Protocolo de Tiempo de Red) para recuperar la hora actual del sistema y la combina con la información de actividad del dispositivo infectado. Estos valores se utilizan para generar un hash que ayuda al dispositivo infectado a localizar a sus pares dentro de la red distribuida.

Este proceso permite a los sistemas comprometidos descubrir otros nodos, obtener instrucciones y descargar archivos maliciosos adicionales sin depender de una estructura de comandos centralizada. Scripts de soporte como fwr.sh y /tmp/.sose también realizan tareas adicionales, como la desactivación del puerto 22 (el puerto TCP estándar utilizado por Secure Shell (SSH)) y la extracción de listas de direcciones de servidores C2 y combinaciones de puertos utilizadas para la comunicación.

Comercialización de la Botnet a través de servicios Proxy

Una vez comprometidos los enrutadores, se integran en una red proxy comercial comercializada bajo el nombre Doppelgänger a través del sitio web doppelganger.shop. Los investigadores de seguridad consideran que este servicio es una versión renombrada de Faceless, una plataforma proxy previamente asociada con el malware TheMoon.

Según el material promocional publicado por el servicio, la red ofrece acceso a servidores proxy residenciales en más de 50 países y anuncia un anonimato absoluto para los usuarios. La evidencia sugiere que la plataforma se lanzó alrededor de mayo o junio de 2025. La infraestructura segmenta los dispositivos infectados por tipo y modelo, ya que no todos los dispositivos comprometidos se comunican con todos los servidores de comando. Esta segmentación indica una estrategia de gestión de botnets estructurada y escalable.

Ya se ha observado que la red proxy ha sido explotada por múltiples actores de amenazas. Sin embargo, la atribución sigue siendo difícil, ya que los enrutadores involucrados en la red a veces se infectan simultáneamente con otras familias de malware, lo que oculta qué actor es responsable de actividades maliciosas específicas.

Medidas defensivas para propietarios de enrutadores

El auge de KadNap pone de relieve el creciente riesgo que suponen los dispositivos periféricos mal protegidos, tanto en entornos domésticos como de pequeñas oficinas. Los defensores de la red y los usuarios individuales pueden reducir significativamente la exposición adoptando diversas prácticas de seguridad:

  • Mantenga los enrutadores y dispositivos de red con las últimas actualizaciones de firmware y seguridad.
  • Reinicie los dispositivos periódicamente para eliminar procesos maliciosos temporales cuando corresponda.
  • Reemplace las credenciales predeterminadas con contraseñas únicas y seguras.
  • Restringir y proteger las interfaces de gestión administrativa.
  • Retire y reemplace los enrutadores que hayan llegado al final de su vida útil y ya no reciban actualizaciones de seguridad del proveedor.

Una botnet descentralizada diseñada para el sigilo

KadNap se distingue de muchas botnets tradicionales que admiten servicios proxy anónimos por el uso de una arquitectura peer-to-peer descentralizada. Al aprovechar el protocolo DHT de Kademlia, la botnet distribuye el control entre los dispositivos infectados en lugar de depender de servidores centralizados fácilmente identificables.

Esta arquitectura proporciona a los operadores canales de comunicación resilientes, mucho más difíciles de detectar, bloquear o desmantelar. El objetivo estratégico es claro: mantener la continuidad operativa, evadir la monitorización de seguridad y dificultar la respuesta defensiva de los equipos de ciberseguridad.

Tendencias

Mas Visto

Cargando...