El Departamento de Justicia de Estados Unidos (DoJ) anunció la interrupción de
la infraestructura de comando y control (C2) utilizada por varias botnets del
Internet de las Cosas (IoT), como
AISURU, Kimwolf,
JackSkid
y Mossad, en el marco de una operación policial autorizada por un tribunal.
En esta operación, las autoridades de Canadá y Alemania también se centraron
en los operadores de estas botnets, con la colaboración de varias empresas del
sector privado, entre ellas Akamai, Amazon Web Services, Cloudflare,
DigitalOcean, Google,
Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y
QiAnXin XLab.
«Las cuatro botnets lanzaron ataques de denegación de servicio distribuido
(DDoS) dirigidos a víctimas en todo el mundo», declaró el DoJ.
«Algunos de estos ataques alcanzaron aproximadamente 30 terabits por
segundo, lo que supuso un récord histórico».
En un
informe del mes pasado,
Cloudflare atribuyó
a AISURU/Kimwolf un ataque DDoS masivo de 31,4 Tbps ocurrido en noviembre de
2025, que duró tan solo 35 segundos. Hacia finales del año pasado, la botnet
también fue responsable de una serie de ataques DDoS hipervolumétricos con un
tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54
millones de solicitudes por segundo (Mrps).
El periodista independiente especializado en seguridad
Brian Krebs también identificó
al administrador de Kimwolf como Jacob Butler (alias Dort), de 23 años,
residente en Ottawa, Canadá. Butler le comentó a Krebs que no ha usado la
identidad de Dort desde 2021 y afirmó que alguien lo está suplantando tras
comprometer su antigua cuenta.
Butler también declaró:
«Pasa la mayor parte del tiempo en casa ayudando a su madre en las tareas
domésticas porque tiene dificultades con el autismo y la interacción
social».
Según Krebs, el otro principal sospechoso es un joven de 15 años residente en Alemania.
No se han anunciado arrestos.
Kimwolf,
documentada por primera vez por XLab
en diciembre de 2025,
ha incorporado a su red más de 2 millones de dispositivos Android, la mayoría de ellos televisores inteligentes y decodificadores Android
genéricos comprometidos. Se trata de una versión para Android de otra botnet
conocida como
AISURU, que se sabe que está activa desde al menos agosto de 2024.
«Kimwolf es una botnet compilada con el
NDK [Native Development Kit]«, afirmó la compañía en un informe publicado hoy.
«Además de las capacidades típicas de ataque DDoS, integra funciones de
reenvío de proxy, shell inversa y gestión de archivos».
En total, se estima que las cuatro botnets han infectado no menos de 3
millones de dispositivos en todo el mundo, como grabadoras de vídeo digital,
cámaras web o routers Wi-Fi, de los cuales cientos de miles se encuentran en
Estados Unidos.
Cloudflare describió
el tráfico máximo de ataque de las botnets AISURU y Kimwolf combinadas como
equivalente a
«la población combinada del Reino Unido, Alemania y España escribiendo
simultáneamente una dirección web y pulsando ‘Intro’ al mismo tiempo».
Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar
dispositivos que tradicionalmente están protegidos y aislados del resto de
internet. Los operadores de las botnets esclavizaron los dispositivos
infectados, según informó el Departamento de Justicia. Posteriormente, los
operadores utilizaron un modelo de «ciberdelincuencia como servicio» para
vender el acceso a los dispositivos infectados a otros ciberdelincuentes.
Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS
contra objetivos de interés en todo el mundo. Documentos judiciales alegan que
las
cuatro variantes de la botnet Mirai
han emitido cientos de miles de comandos de ataque DDoS:
- AISURU: >200.000 comandos de ataque DDoS
- Kimwolf: >25.000 comandos de ataque DDoS
- JackSkid: >90.000 comandos de ataque DDoS
- Mossad: >1.000 comandos de ataque DDoS
«Kimwolf representó un cambio fundamental en la forma en que operan y
escalan las botnets. A diferencia de las botnets tradicionales que escanean
internet en busca de dispositivos vulnerables, Kimwolf explotó un nuevo
vector de ataque: las redes proxy residenciales»,
afirmó Tom Scholl, vicepresidente e ingeniero distinguido de AWS.
«Al infiltrarse en las redes domésticas a través de dispositivos
comprometidos —incluidos reproductores multimedia y otros dispositivos IoT—,
la botnet obtuvo acceso a redes locales que normalmente están protegidas de
amenazas externas por los routers domésticos».
Lumen Black Lotus Labs,
afirmó
haber bloqueado casi 1.000 servidores C2 utilizados por AISURU y
posteriormente por Kimwolf. Según datos recopilados por la empresa de
ciberseguridad, JackSkid registró un promedio de más de 150.000 víctimas
diarias durante las dos primeras semanas de marzo de 2026, alcanzando las
250.000 el 8 de marzo. Mossad, por su parte, registró un promedio de más de
100.000 víctimas diarias durante el mismo periodo.
«El problema radica en la enorme cantidad de dispositivos vulnerables, lo
que dio lugar a dos situaciones: primero, Kimwolf demostró ser
increíblemente resistente», declaró Ryan English, investigador de seguridad de Black Lotus Labs de
Lumen. «El segundo problema fue que varias botnets nuevas comenzaron a
emular la técnica
de aprovechar la vulnerabilidad para crecer rápidamente y en gran tamaño».
XLab comunicó a la publicación que proporcionó hashes de muestra,
configuraciones C2 descifradas y capturas de pantalla de ataques DDoS como
prueba. Akamai afirmó que
«las botnets hipervolumétricas generaron ataques que superaron los 30 Tbps,
14 mil millones de paquetes por segundo y 300 Mrps», y añadió que
«los ciberdelincuentes aprovecharon estas botnets para lanzar cientos de
miles de ataques y, en algunos casos, exigir pagos de extorsión a las
víctimas».
«Estos ataques pueden paralizar la infraestructura central de internet,
causar una degradación significativa del servicio para los proveedores de
servicios de internet y sus clientes, e incluso saturar los servicios de
mitigación basados en la nube de alta capacidad»,
declaró la empresa.
Fuente:
THN