Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Red de bots Kimwolf

Red de bots Kimwolf

Por Mezo en Redes de bots
Traducir a:

Expertos en ciberseguridad han descubierto una botnet masiva de denegación de servicio distribuida (DDoS), conocida como Kimwolf, que ya ha infectado a más de 1,8 millones de dispositivos. Estos incluyen televisores, decodificadores y tabletas Android. Las primeras investigaciones sugieren una posible conexión con la conocida botnet AISURU. Este descubrimiento pone de relieve la creciente sofisticación del malware dirigido al IoT y subraya la crucial necesidad de vigilancia para proteger los dispositivos conectados.

Anatomía de Kimwolf

Kimwolf se creó con el Kit de Desarrollo Nativo (NDK) y combina múltiples capacidades que van más allá de los ataques DDoS tradicionales. Sus características principales incluyen:

  • Reenvío de proxy
  • Acceso inverso al shell
  • Funciones de gestión de archivos

El malware de la botnet está diseñado para ejecutar un solo proceso por dispositivo, descifrar dominios de comando y control (C2) integrados, resolver la IP del C2 mediante DNS sobre TLS y ejecutar comandos recibidos de sus operadores.

Escala y actividad récord

En tan solo tres días, del 19 al 22 de noviembre de 2025, Kimwolf supuestamente emitió 1.700 millones de comandos de ataque DDoS. Uno de sus dominios C2, 14emeliaterracewestroxburyma02132[.]su, incluso apareció brevemente entre los 100 dominios principales de Cloudflare, superando temporalmente a Google.

Los principales objetivos de infección incluyen los decodificadores de TV residenciales como:

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Geográficamente, las infecciones se concentran en Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas, aunque el método exacto de propagación aún no está claro.

Evolución y resiliencia

Kimwolf demuestra una adaptabilidad avanzada. Sus dominios C2 fueron desactivados al menos tres veces en diciembre de 2025, lo que impulsó a los operadores a adoptar dominios del Servicio de Nombres Ethereum (ENS) para fortalecer la infraestructura. Las versiones recientes del malware incorporan EtherHiding, una técnica que obtiene la IP C2 real mediante contratos inteligentes y la transforma mediante operaciones XOR, lo que dificulta considerablemente las desactivaciones.

Conexión a AISURU e Infraestructura Compartida

La evidencia vincula a Kimwolf con la botnet AISURU, conocida por sus ataques DDoS récord:

  • Ambas botnets coexistieron en los mismos dispositivos infectados entre septiembre y noviembre de 2025.
  • Las similitudes en los paquetes APK y los certificados de firma de código ('John Dinglebert Dinglenut VIII VanSack Smith') sugieren un origen de desarrollo compartido.
  • Un servidor de descarga (93.95.112[.]59) confirmó la presencia de scripts que hacen referencia a los APK de Kimwolf y AISURU.

Esta relación sugiere que un único grupo de piratas informáticos podría operar ambas botnets para maximizar el alcance y evadir la detección.

Capacidades de ataque y monetización

Kimwolf admite 13 métodos DDoS distintos a través de UDP, TCP e ICMP, y ataca países como EE. UU., China, Francia, Alemania y Canadá. Curiosamente, más del 96 % de los comandos emitidos están dirigidos a usar nodos infectados como servicios proxy, lo que indica un fuerte afán de lucro.

Los componentes adicionales implementados en los dispositivos comprometidos incluyen:

  • Cliente de comandos basado en Rust: crea una red proxy
  • ByteConnect SDK: monetiza el tráfico de IoT para desarrolladores y propietarios de dispositivos
  • El cifrado TLS protege todas las comunicaciones, mientras que los datos confidenciales sobre los servidores C2 y los solucionadores DNS también están cifrados, lo que aumenta el sigilo operativo.

El contexto más amplio de las botnets gigantes

Desde la aparición de Mirai en 2016, las botnets gigantes del IoT han evolucionado significativamente. Las primeras versiones se dirigían principalmente a routers y cámaras de banda ancha, pero botnets modernas como Badbox, Bigpanzi, Vo1d y Kimwolf se centran cada vez más en televisores inteligentes y decodificadores, lo que refleja el cambio de interés de los atacantes hacia dispositivos de consumo con gran ancho de banda.

Tendencias

Mas Visto

Cargando...