La botnet conocida como Kimwolf ha infectado más de 2 millones de dispositivos
Android mediante túneles a través de redes proxy residenciales, según los
hallazgos de Synthient.
«Se observa que los actores clave involucrados en la botnet Kimwolf
monetizan la botnet mediante instalaciones de aplicaciones, la venta de
ancho de banda de proxy residencial y la venta de su funcionalidad DDoS»,
declaró la compañía
en un análisis publicado la semana pasada.
Kimwolf fue
documentado públicamente
por primera vez por QiAnXin XLab el mes pasado, al tiempo que documentaba sus
conexiones con otra botnet conocida como
AISURU. Activa desde al menos agosto de 2025, se considera que Kimwolf es una
variante de AISURU para Android. Cada vez hay más evidencia que sugiere que la
botnet está detrás de una serie de ataques DDoS sin precedentes a finales del
año pasado.
El malware convierte los sistemas infectados en canales para retransmitir
tráfico malicioso y orquestar ataques de denegación de servicio distribuido
(DDoS) a gran escala.
Los principales objetivos de infección de Kimwolf son los decodificadores
de TV instalados en entornos de red residenciales. Algunos de los modelos de
dispositivos afectados incluyen TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q,
XBOX, SmartTV y MX10. Las infecciones se encuentran distribuidas
globalmente, con concentraciones más altas en Brasil, India, EE. UU.,
Argentina, Sudáfrica y Filipinas.
Sin embargo, actualmente se desconoce el método exacto por el cual el malware
se propaga a estos dispositivos.
Se ha descubierto que los ataques que distribuyen la botnet se dirigen
principalmente a dispositivos Android que ejecutan un servicio Android Debug
Bridge (ADB) expuesto mediante una infraestructura de escaneo que utiliza
proxies residenciales para instalar el malware. Al menos el 67% de los
dispositivos conectados a la botnet no están autenticados y tienen ADB
habilitado por defecto.
Dada la dependencia de Kimwolf de proxies residenciales para las infecciones,
recomendamos a todos los proveedores de proxy que bloqueen los puertos de alto
riesgo y restrinjan el acceso a la red local. Los usuarios deben comprobar si
están afectados visitando
synthient.com/check.
Las TV boxes infectadas deben ser borradas o destruidas. Las
organizaciones deben bloquear las conexiones a los servidores y dominios C2
mencionados y supervisar el tráfico de red para detectar actividad sospechosa.
Se sospecha que estos dispositivos vienen preinfectados con kits de desarrollo
de software (SDK) de proveedores de proxy para incorporarlos subrepticiamente
a la botnet. Los
principales dispositivos comprometidos
incluyen televisores inteligentes y decodificadores Android no oficiales.
«Kimwolf es una botnet compilada con el NDK [Kit de Desarrollo Nativo].
Además de las capacidades típicas de un ataque DDoS, integra funciones de
reenvío de proxy, shell inverso y gestión de archivos».
En diciembre de 2025, las infecciones de Kimwolf aprovecharon direcciones IP
proxy ofrecidas en alquiler por IPIDEA, empresa china que implementó un parche
de seguridad el 27 de diciembre para bloquear el acceso a dispositivos de red
local y a varios puertos sensibles.
IPIDEA se describe
a sí misma como el «proveedor líder mundial de proxy IP», con más de
6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas
direcciones IP diarias.
En otras palabras, el modus operandi consiste en aprovechar la red proxy de
IPIDEA y otros proveedores de proxy, y luego crear un túnel a través de las
redes locales de los sistemas que ejecutan el software proxy para distribuir
el malware. La carga útil principal escucha en el puerto 40860 y se conecta a
85.234.91[.]247:1337 para recibir más comandos.
«La magnitud de esta vulnerabilidad no tenía precedentes, exponiendo
millones de dispositivos a ataques», declaró Synthient.
Además, los ataques infectan los dispositivos con un servicio de monetización
de ancho de banda conocido como Plainproxies Byteconnect SDK, lo que
indica intentos más amplios de monetización. El SDK utiliza 119 servidores de
retransmisión que reciben tareas de proxy de un servidor de comando y control,
que luego son ejecutadas por el dispositivo comprometido.
Synthient afirmó haber detectado la infraestructura utilizada para realizar
ataques de robo de credenciales dirigidos a servidores IMAP y sitios web
populares.
«La estrategia de monetización de Kimwolf se hizo evidente desde el
principio mediante su agresiva venta de proxies residenciales», declaró la compañía.
«Al ofrecer proxies a precios tan bajos como 0,20 centavos por GB o 1.400
dólares al mes por ancho de banda ilimitado, varios proveedores de proxy lo
adoptarían rápidamente».
«El descubrimiento de decodificadores de TV preinfectados y la monetización
de estos bots a través de SDK secundarios como Byteconnect indica una
relación cada vez más estrecha entre los actores de amenazas y los
proveedores de proxy comerciales». Para contrarrestar el riesgo, se recomienda a los proveedores de proxy
bloquear las solicitudes a direcciones RFC 1918, que son rangos de
direcciones IP privadas. Se recomienda a las organizaciones bloquear los dispositivos que ejecutan
shells ADB no autenticados para evitar el acceso no autorizado.
Fuente:
THN