Los investigadores de ciberseguridad han descubierto un nuevo malware llamado Kad Nap que se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para proxys del tráfico malintencionado.
El malware, que se detectó por primera vez en estado salvaje en agosto de 2025, se ha expandido a más de 14 000 dispositivos infectados, y más del 60% de las víctimas se encuentran en EE. UU., según el equipo de Black Lotus Labs de Lumen. Se ha detectado un número menor de infecciones en Taiwán, Hong Kong, Rusia, el Reino Unido, Australia, Brasil, Francia, Italia y España.
«KaDnap emplea una versión personalizada del Kademlia Tabla hash distribuida ( DHT ), que se utiliza para ocultar la dirección IP de su infraestructura dentro de un sistema peer-to-peer para evadir la monitorización tradicional de la red», la empresa de ciberseguridad dijo en un informe compartido con The Hacker News.
Los nodos comprometidos de la red aprovechan el protocolo DHT para localizar un servidor de comando y control (C2) y conectarse con él, lo que lo hace resistente a los esfuerzos de detección e interrupción.
adsenseUna vez que los dispositivos se ven comprometidos con éxito, son comercializados por un servicio proxy llamado Doppelgänger («tienda de doppelganger [.]»), que se considera un cambio de marca de Sin rostro , otro servicio de proxy asociado al malware TheMoon. Según su sitio web, Doppelgänger afirma ofrecer proxies residentes en más de 50 países que proporcionan un "100% de anonimato». Se dice que el servicio se lanzó en mayo/junio de 2025.
A pesar de centrarse en los enrutadores Asus, se ha descubierto que los operadores de KaDnap despliegan el malware contra un conjunto variado de dispositivos de redes periféricas.
Un elemento central del ataque es un script de shell (» aic.sh «) que se descarga del servidor C2 («212.104.141 [.] 140"), que es responsable de iniciar el proceso de reclutamiento de la víctima para la red P2P. El archivo crea un cron job para recuperar el script de shell del servidor cada 55 minutos cada hora, cambiarle el nombre a «.asusrouter» y ejecutarlo.
Una vez establecida la persistencia, el script extrae un archivo ELF malintencionado, lo renombra a «kad» y lo ejecuta. Esto, a su vez, lleva al despliegue de KaDnap. El malware es capaz de atacar dispositivos que utilizan procesadores ARM y MIPS.
KaDnap también está diseñado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora actual y almacenarla junto con el tiempo de actividad del host. Esta información sirve de base para crear un hash que se utiliza para localizar a otros pares de la red descentralizada para recibir comandos o descargar archivos adicionales.
Los archivos (fwr.sh y /tmp/.sose) contienen funciones para cerrar el puerto 22, el puerto TCP estándar para Secure Shell (SSH), del dispositivo infectado y extraer una lista de combinaciones de direcciones IP y puertos C2 a las que conectarse.
«En resumen, el uso innovador del protocolo DHT permite al malware establecer canales de comunicación sólidos que son difíciles de interrumpir, ocultándose en el ruido del tráfico legítimo de igual a igual», afirma Lumen.
Un análisis más detallado ha determinado que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura se clasifica según el tipo de dispositivo y los modelos.
El equipo de Black Lotus Labs dijo a The Hacker News que los actores de amenazas en la naturaleza están abusando de los bots de Doppelgänger. «Uno de los problemas que ha surgido es que estos dispositivos Asus (y otros) a veces se coinfectan con otros tipos de malware, por lo que resulta difícil decir quién es exactamente el responsable de una actividad maliciosa específica», afirma la empresa.
Se recomienda a los usuarios que utilizan enrutadores SOHO que mantengan sus dispositivos actualizados, los reinicien con regularidad, cambien las contraseñas predeterminadas, protejan las interfaces de administración y reemplacen los modelos que han llegado al final de su vida útil y ya no son compatibles.
«La botnet KaDnap se destaca entre otras que admiten proxies anónimos en su uso de una red punto a punto para el control descentralizado», concluyó Lumen. «Su intención es clara, evitan que los detecten y dificultan la protección de los defensores».
Surge una nueva amenaza para Linux: ClipxDaemon
La revelación se produce cuando Cyble detalló una nueva amenaza para Linux denominada ClipXDaemon que está diseñada para atacar a los usuarios de criptomonedas al interceptar y alterar las direcciones de monederos copiadas. El malware Clipper , entregado a través de un marco de posexplotación de Linux llamado ShadowHS, ha sido descrito como un secuestrador autónomo de portapapeles de criptomonedas dirigido a entornos Linux X11.
enlacesOrganizado completamente en la memoria, el malware emplea técnicas sigilosas, como el enmascaramiento de procesos y Wayland evitación de sesiones, al mismo tiempo que se monitorea el portapapeles cada 200 milisegundos y se sustituyen las direcciones de criptomonedas por carteras controladas por atacantes. Es capaz de atacar carteras de Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.
La decisión de evitar la ejecución en las sesiones de Wayland es deliberada, ya que la arquitectura de seguridad del protocolo del servidor de pantalla establece controles adicionales, como requerir la interacción explícita del usuario, antes de que las aplicaciones puedan acceder al contenido del portapapeles. Al inhabilitarse en estas situaciones, el malware busca eliminar el ruido y evitar fallos en el tiempo de ejecución.
«ClipXDaemon difiere fundamentalmente del malware tradicional para Linux. No contiene una lógica de comando y control (C2), no realiza balizas y no requiere tareas remotas», explican desde la empresa dijo . «En cambio, monetiza a las víctimas directamente secuestrando las direcciones de monederos de criptomonedas copiadas en las sesiones de X11 y reemplazándolas en tiempo real por direcciones controladas por atacantes».
Fuentes de Información: THEHACKERNEWS