Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Campaña de botnet Kimwolf

Campaña de botnet Kimwolf

Por Mezo en Redes de bots
Traducir a:

Investigadores de seguridad han descubierto una enorme botnet centrada en Android, conocida como Kimwolf, que ha comprometido más de dos millones de dispositivos mediante la explotación de redes proxy residenciales. El malware transforma el hardware de consumo habitual en una plataforma de ataque global, enrutando silenciosamente el tráfico malicioso y permitiendo ataques de denegación de servicio distribuidos (DDoS) a gran escala. Las observaciones muestran aproximadamente 12 millones de direcciones IP únicas cada semana, lo que pone de relieve el extraordinario alcance de esta operación.

Orígenes, evolución y vínculos con AISURU

Kimwolf se analizó públicamente por primera vez en diciembre de 2025 , cuando los investigadores identificaron fuertes vínculos técnicos y de infraestructura con otra botnet llamada AISURU. La evidencia sugiere que Kimwolf ha estado activo desde al menos agosto de 2025 y representa una evolución de AISURU basada en Android. Los investigadores creen cada vez más que esta botnet impulsó varias campañas DDoS de récord observadas a finales del año pasado.

Huella global de infección y dispositivos específicos

Aunque Kimwolf tiene presencia mundial, las infecciones se concentran principalmente en Vietnam, Brasil, India y Arabia Saudita. Una parte significativa de los sistemas comprometidos son televisores inteligentes y decodificadores Android no oficiales, muchos de los cuales vienen con configuraciones predeterminadas inseguras.

Al menos el 67 % de los dispositivos conectados exponen un servicio Android Debug Bridge (ADB) no autenticado, lo que los deja vulnerables al control remoto. Los investigadores sospechan que muchos de estos productos vienen precargados con kits de desarrollo de software (SDK) relacionados con proxy antes de llegar a los consumidores, lo que los inscribe en ecosistemas de proxy que posteriormente se convierten en canales de distribución de malware.

Cómo Kimwolf difunde y mantiene el control

Los operadores de Kimwolf utilizan grandes redes proxy residenciales para escanear internet en busca de dispositivos Android con servicios ADB expuestos. Una vez identificado, el malware se instala remotamente, convirtiendo el dispositivo en un repetidor de tráfico y un nodo de ataque. La carga útil principal abre un receptor en el puerto 40860 y establece comunicación saliente con 85.234.91[.]247:1337, desde donde recibe comandos operativos.

En diciembre de 2025, se rastrearon infecciones hasta direcciones IP proxy alquiladas a IPIDEA, un proveedor con sede en China que se promociona como el servicio de proxy IP líder a nivel mundial, con más de 6,1 millones de IP actualizadas diariamente y 69 000 nuevas direcciones cada día. El 27 de diciembre, IPIDEA implementó una actualización de seguridad que bloqueaba el acceso a redes locales y puertos sensibles tras la aparición de evidencia de que atacantes estaban utilizando el software proxy instalado por los clientes para acceder a dispositivos internos.

La exposición creada por esta técnica fue descrita por los analistas como sin precedentes, colocando millones de sistemas de consumidores directamente en el camino de la explotación automatizada.

Monetización: Proxies, cargas útiles y ataques pagados

Desde el principio, los motivos financieros de Kimwolf fueron evidentes. Los operadores comercializaron agresivamente su infraestructura, convirtiendo los dispositivos comprometidos en activos rentables a través de múltiples canales:

  • Venta de acceso proxy residencial, publicitado a un precio tan barato como $0,20 por GB o alrededor de $1.400 por mes por un ancho de banda ilimitado, lo que atrajo la adopción temprana de múltiples servicios proxy.
  • Implementación de SDK de monetización secundaria, especialmente el SDK Plainproxies Byteconnect, que enruta tareas de proxy pagas desde un servidor de comando a dispositivos infectados a través de 119 servidores de retransmisión dedicados.
  • Abuso de la red de bots para operaciones de delitos cibernéticos, incluida actividad DDoS a gran escala y campañas observadas de robo de credenciales contra servicios IMAP y plataformas en línea populares.

La presencia de decodificadores de TV preinfectados y la integración de SDK comerciales para compartir ancho de banda sugieren fuertemente una colaboración cada vez más profunda entre los operadores de botnets y segmentos de la economía proxy.

Medidas defensivas y reducción de riesgos

Para mitigar amenazas similares, se requiere una acción coordinada entre los proveedores de servicios y los entornos de los usuarios finales:

  • Las redes proxy deben bloquear el tráfico destinado a los rangos de direcciones RFC 1918, evitando que los clientes externos lleguen a las redes privadas internas donde residen los dispositivos de los consumidores.
  • Las organizaciones y los individuos deben deshabilitar o restringir el acceso ADB no autenticado en los sistemas Android, particularmente en los dispositivos integrados y de estilo IoT que a menudo se entregan con valores predeterminados inseguros.

Sin estos controles, los ecosistemas proxy residenciales seguirán proporcionando una cobertura ideal para la implementación de malware a gran escala y la expansión de botnets.

Tendencias

Mas Visto

Cargando...