Imagen Principal

El botnet Kimwolf, una nueva amenaza de denegación de servicio distribuido (DDoS), ha reclutado un ejército masivo de al menos 1.8 millones de dispositivos infectados, principalmente televisores basados en Android, decodificadores y tabletas. Según una investigación de QiAnXin XLab, el botnet está asociado con el infame botnet AISURU.

Resumen de la Amenaza Kimwolf

  • Alcance masivo: Kimwolf ha infectado 1.8 millones de dispositivos, principalmente cajas de TV (TV boxes) Android, decodificadores y tabletas.
  • Capacidades avanzadas: Además de las capacidades típicas de ataque DDoS, Kimwolf integra reenvío de proxy, shell inverso y funciones de gestión de archivos. Está compilado utilizando el NDK (Native Development Kit) de Android.
  • Actividad de ataque: Se estima que el botnet emitió 1.700 millones de comandos de ataque DDoS en un período de tres días (del 19 al 22 de noviembre de 2025).
  • Objetivos principales: Los dispositivos más afectados incluyen modelos populares como TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. La propagación global es notable, con altas concentraciones en Brasil, India, EE. UU., Argentina, Sudáfrica y Filipinas.

Lazos con el Botnet AISURU y TTPs

La investigación de XLab ha descubierto vínculos significativos entre Kimwolf y el botnet AISURU, conocido por ataques DDoS récord en el último año. Los investigadores sospechan que el mismo grupo de hackers reutilizó código de AISURU en las primeras etapas de Kimwolf.

  • Evidencia de vinculación: Ambos botnets utilizaron los mismos scripts de infección entre septiembre y noviembre, coexistiendo en los mismos dispositivos. El análisis de paquetes APK subidos a VirusTotal reveló similitudes e incluso el uso del mismo certificado de firma de código (“John Dinglebert Dinglenut VIII VanSack Smith”).
  • Infraestructura compartida: Un servidor de descarga activo (93.95.112[.]59) descubierto el 8 de diciembre de 2025 contenía scripts que hacían referencia a los APKs de Kimwolf y AISURU, confirmando que pertenecen al mismo grupo.

Técnica de Evasión “EtherHiding”

Para frustrar los esfuerzos de eliminación, Kimwolf ha evolucionado sus tácticas. Tras al menos tres derribos exitosos de sus dominios C2, el botnet adoptó una técnica de evasión avanzada conocida como EtherHiding.

  • Uso de ENS: Kimwolf utiliza un dominio del Servicio de Nombres de Ethereum (ENS) como pawsatyou[.]eth para recuperar la dirección IP real de su servidor C2 desde un contrato inteligente asociado.
  • Obtención de IP: La IP real se extrae del campo “lol” de la transacción, donde se realiza una operación XOR con una clave específica (0x93141715) para decodificar la dirección IPv6 del servidor C2.

Monetización y Evolución

El análisis de XLab reveló que más del 96% de los comandos del botnet están relacionados con la prestación de servicios de proxy. Los atacantes buscan monetizar el ancho de banda de los dispositivos comprometidos.

  • Servicios de proxy: Kimwolf despliega un módulo de cliente de comando basado en Rust para formar una red de proxy.
  • Monetización SDK: El botnet también implementa un kit de desarrollo de software (SDK) ByteConnect, una solución de monetización que permite a los propietarios de dispositivos IoT vender el tráfico de sus dispositivos.

Esta evolución de Kimwolf se alinea con una tendencia observada en otros botnets gigantes (como Badbox, Bigpanzi y Vo1d) que han cambiado su enfoque de los dispositivos IoT tradicionales (routers, cámaras) a los televisores inteligentes y decodificadores.

Conclusión

La aparición de Kimwolf y su rápida propagación a través de dispositivos Android TV subraya la creciente amenaza que representan los botnets para los dispositivos inteligentes de consumo. La sofisticación de sus métodos de evasión, como EtherHiding, demuestra la constante innovación de los ciberdelincuentes para eludir la detección y el desmantelamiento de su infraestructura. La conexión directa con el grupo detrás de AISURU indica una operación coordinada y de gran escala que busca aprovechar la creciente base de dispositivos Android en el hogar.

Referencias