Los investigadores de ciberseguridad han advertido sobre una red de bots en expansión activa denominada Tsundere que está dirigido a los usuarios de Windows.
Activa desde mediados de 2025, la amenaza es diseñada ejecutar código JavaScript arbitrario recuperado de un servidor de comando y control (C2), afirmó el investigador de Kaspersky Lisandro Ubiedo en un análisis publicado hoy.
Actualmente no hay detalles sobre cómo se propaga el malware de la botnet; sin embargo, en al menos un caso, se dice que los actores de la amenaza detrás de la operación utilizaron una herramienta legítima de monitoreo y administración remota (RMM) como conducto para descargar un archivo de instalación MSI desde un sitio comprometido.
Los nombres dados a los artefactos de malware (Valorant, r6x (Rainbow Six Siege X) y cs2 (Counter-Strike 2) también sugieren que es probable que el implante se difunda utilizando señuelos para juegos. Es posible que el objetivo sean los usuarios que buscan versiones pirateadas de estos juegos.
Independientemente del método utilizado, el instalador falso de MSI está diseñado para instalar Node.js y ejecutar un script de carga que se encarga de descifrar y ejecutar la carga útil principal relacionada con la botnet. También prepara el entorno descargando tres bibliotecas legítimas, es decir, ws, ethers y pm2, mediante el comando «npm install».
«El paquete pm2 se instala para garantizar que el bot Tsundere permanezca activo y se utilice para lanzarlo», explicó Ubiedo. «Además, pm2 ayuda a lograr la persistencia en el sistema al escribir en el registro y configurarse para reiniciar el proceso al iniciar sesión».
El análisis de Kaspersky del panel C2 ha revelado que el malware también se propaga en forma de un script de PowerShell, que realiza una secuencia de acciones similar al implementar Node.js en el host comprometido y descargar ws y ethers como dependencias.
Si bien el infectador de PowerShell no utiliza pm2, lleva a cabo las mismas acciones observadas en el instalador de MSI al crear un valor de clave de registro que garantiza que el bot se ejecute en cada inicio de sesión al generar una nueva instancia de sí mismo.
La botnet Tsundere hace uso de la cadena de bloques Ethereum a obtener detalles del servidor WebSocket C2 (p. ej., ws: //193.24.123 [.] 68:3011 o ws: //185.28.119 [.] 179:1234), creando un mecanismo resiliente que permite a los atacantes rotar la infraestructura simplemente empleando un contrato inteligente . El contrato se creó el 23 de septiembre de 2024 y ha tenido 26 transacciones hasta la fecha.
Una vez recuperada la dirección C2, comprueba que es una URL WebSocket válida y, a continuación, establece una conexión WebSocket con la dirección específica y recibe el código JavaScript enviado por el servidor. Kaspersky dijo que no observó ningún comando de seguimiento del servidor durante el período de observación.
«La capacidad de evaluar el código hace que el bot Tsundere sea relativamente simple, pero también proporciona flexibilidad y dinamismo, lo que permite a los administradores de la botnet adaptarlo a una amplia gama de acciones», afirma Kaspersky.
Las operaciones de las botnets se ven facilitadas por un panel de control que permite a los usuarios que han iniciado sesión crear nuevos artefactos con MSI o PowerShell, gestionar las funciones administrativas, ver la cantidad de bots en un momento dado, convertir sus bots en un proxy para enrutar el tráfico malintencionado e incluso buscar y comprar botnets a través de un mercado dedicado.
No se sabe exactamente quién está detrás de Tsundere, pero la presencia del idioma ruso en el código fuente para fines de registro alude a un actor de amenazas que habla ruso. La actividad se evalúa para compartir las superposiciones funcionales con una campaña maliciosa de npm documentadas de Checkmarx, Phylum y Socket en noviembre de 2024.
Además, se ha identificado que el mismo servidor aloja el panel C2 asociado a un ladrón de información conocido como 123 Stealer, que está disponible mediante suscripción por 120 dólares al mes. Lo anunció por primera vez un actor de amenazas llamado «koneko» en un foro de la dark web el 17 de junio de 2025, por El equipo de KrakenLabs de Outpost24 .
Otra pista que apunta a su origen ruso es que a los clientes se les prohíbe utilizar el ladrón para atacar a Rusia y a los países de la Comunidad de Estados Independientes (CEI). «La violación de esta regla tendrá como resultado el bloqueo inmediato de tu cuenta sin explicación», dijo Koneko en el post publicado en ese momento.
«Las infecciones pueden producirse a través de los archivos MSI y PowerShell, lo que brinda flexibilidad a la hora de disfrazar a los instaladores, utilizar la suplantación de identidad como punto de entrada o integrarse con otros mecanismos de ataque, lo que la convierte en una amenaza aún más formidable», afirma Kaspersky.