Una nueva botnet distribuida de denegación de servicio (DDoS) conocida como Kim Wolf ha reclutado un enorme ejército de no menos de 1,8 millones de dispositivos infectados, incluidos televisores, decodificadores y tabletas basados en Android, y es posible que esté asociado a otra red de bots conocida como AISURU , según los hallazgos de QianXin XLab.
«Kimwolf es una red de bots compilada con NDK [Kit de desarrollo nativo]», la empresa dijo en un informe publicado hoy. «Además de las capacidades típicas de los ataques DDoS, integra funciones de reenvío de proxy, shell inverso y administración de archivos».
Se estima que la botnet a hiperescala emitió 1.700 millones de comandos de ataque DDoS en un período de tres días entre el 19 y el 22 de noviembre de 2025, aproximadamente al mismo tiempo que uno de sus dominios de comando y control (C2), 14emeliaterracewestroxburyma02132 [.] su — llegó primero en la lista de los 100 principales dominios de Cloudflare, superando brevemente incluso a Google.
Los principales objetivos de infección de Kimwolf son las cajas de TV desplegadas en entornos de redes residenciales. Algunos de los modelos de dispositivos afectados incluyen TV BOX, SuperBox, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. Las infecciones están dispersas en todo el mundo, y Brasil, India, EE. UU., Argentina, Sudáfrica y Filipinas registran concentraciones más altas. Dicho esto, actualmente no está claro el medio exacto por el que el malware se propaga a estos dispositivos.
XLab dijo que su investigación sobre la botnet comenzó después de recibir un artefacto «versión 4» de Kimwolf de un socio de confianza de la comunidad el 24 de octubre de 2025. Desde entonces, el mes pasado se descubrieron ocho muestras adicionales.
«Observamos que los dominios C2 de Kimwolf habían sido eliminados con éxito por partes desconocidas al menos tres veces [en diciembre], lo que la obligó a mejorar sus tácticas y recurrir al ENS (Ethereum Name Service) para reforzar su infraestructura y demostrar su poderosa capacidad evolutiva», dijeron los investigadores de XLab.
Eso no es todo A principios de este mes, xLab logró hacerse con el control de uno de los dominios C2, lo que le permitió evaluar la escala de la botnet.
Un aspecto interesante de Kimwolf es que está vinculado a la infame botnet AISURU, que ha estado detrás de algunos de los ataques DDoS que batieron récords durante el último año. Se sospecha que los atacantes reutilizaron el código de AISURU en las primeras fases, antes de optar por desarrollar la botnet Kimwolf para evitar ser detectados.
XLab dijo que es posible que algunos de estos ataques no provengan únicamente de AISURU, y que Kimwolf esté participando o incluso liderando los esfuerzos.
«Estas dos principales redes de bots se propagaron a través de los mismos scripts de infección entre septiembre y noviembre, y coexistieron en el mismo lote de dispositivos», dijo la empresa. «De hecho, pertenecen al mismo grupo de hackers».
Esta evaluación se basa en similitudes en paquetes APK subidos a la plataforma VirusTotal, en algunos casos incluso usando el mismo certificado de firma de código («John Dinglebert Dinglenut VIII de Sack Smith»). El 8 de diciembre de 2025 llegaron más pruebas definitivas, con el descubrimiento de un servidor de descarga activo («93.95.112 [.] 59") que contenía un script que hacía referencia a los APK de Kimwolf y AISURU.
El malware en sí mismo es bastante sencillo. Una vez lanzado, se asegura de que solo se ejecute una instancia del proceso en el dispositivo infectado y, a continuación, procede a descifrar el dominio C2 integrado, utiliza DNS a través de TLS para obtener la dirección IP C2 y se conecta a ella para recibir y ejecutar comandos.
Las versiones recientes del malware de botnets detectadas el 12 de diciembre de 2025 han introducido una técnica conocida como Ocultación de éter que utiliza un dominio ENS («pawsatyou [.] eth») para obtener la IP C2 real del contrato inteligente asociado ( 0xDE569B825877C47FE637913ECE5216C644DE081F ) en un esfuerzo por hacer que su infraestructura sea más resistente a los esfuerzos de desmantelamiento.
En concreto, esto implica extraer una dirección IPv6 del campo «lol» de la transacción , tomando luego los últimos cuatro bytes de la dirección y realizando una operación XOR con la clave «0x93141715" para obtener la dirección IP real.
Además de cifrar los datos confidenciales relacionados con los servidores C2 y los solucionadores de DNS, Kimwolf utiliza el cifrado TLS para las comunicaciones de red a fin de recibir comandos de DDoS. En total, el malware admite 13 métodos de ataque DDoS a través de UDP, TCP e ICMP. Los objetivos del ataque, según xLab, se encuentran en EE. UU., China, Francia, Alemania y Canadá.
Un análisis más detallado ha determinado que más del 96% de los comandos se relacionan con el uso de los nodos bot para proporcionar servicios de proxy. Esto indica que los atacantes intentan aprovechar el ancho de banda de los dispositivos comprometidos y maximizar las ganancias. Como parte del esfuerzo, se implementa un módulo Command Client basado en Rust para formar una red proxy.
También se entrega a los nodos un kit de desarrollo de software (SDK) de ByteConnect, una solución de monetización que permite a los desarrolladores de aplicaciones y a los propietarios de dispositivos de IoT monetizar su tráfico.
«Las botnets gigantes se originaron con Mirai en 2016, y los objetivos de infección se concentraron principalmente en los dispositivos de IoT, como los enrutadores de banda ancha y las cámaras domésticas», afirma xLab. «Sin embargo, en los últimos años, se ha publicado información sobre redes de bots gigantes de varios millones de usuarios, como Badbox, Bigpanzi, Vo1d y Kimwolf, lo que indica que algunos atacantes han empezado a centrar su atención en varios televisores y cajas de TV inteligentes».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS