El equipo de Black Lotus Labs de Lumen Technologies dijo que ha enrutado cero el tráfico a más de 550 nodos de comando y control (C2) relacionados con la botnet AISURU/Kimwolf desde principios de octubre de 2025.
AISURU y su homólogo de Android, Kimwolf, se han convertido en las botnets más grandes de los últimos tiempos, capaces de instruir a dispositivos esclavizados para que participen en ataques distribuidos de denegación de servicio (DDoS) y redirigir tráfico malicioso hacia servicios de proxy privados.
Los detalles sobre Kimwolf surgieron el mes pasado cuando QiAnXin XLab publicó un análisis exhaustivo del malware, que convierte los dispositivos comprometidos (en su mayoría dispositivos de transmisión de TV Android no autorizados) en un proxy doméstico mediante la implementación de un kit de desarrollo de software (SDK) llamado ByteConnect, ya sea directamente o a través de aplicaciones incompletas preinstaladas en ellos.
El resultado final es que la botnet se ha expandido hasta infectar más de 2 millones de dispositivos Android con un servicio Android Debug Bridge (ADB) expuesto mediante túneles a través de redes proxy privadas, lo que permite a los actores de amenazas comprometer una gran cantidad de dispositivos de TV.
Un informe posterior de Synthient reveló que los actores de Kimwolf están intentando subcontratar el ancho de banda del proxy a cambio de un pago por adelantado.
Black Lotus Labs dijo que identificó un grupo de conexiones SSH privadas en septiembre de 2025 que se originaron en múltiples direcciones IP canadienses según su análisis del backend C2 para Aisuru en 65.108.5(.)46, con las direcciones IP que utilizan SSH para acceder a 194.46.59(.)169, que es Proxy-sdk.14emeliaterracewestroxburyma02132(.)su.
Vale la pena señalar que en noviembre de 2025, el dominio de segundo nivel superó a Google en la lista de los 100 dominios principales de Cloudflare, lo que llevó a la empresa de infraestructura web a eliminarlo de la lista.
Luego, a principios de octubre de 2025, la empresa de ciberseguridad dijo que había identificado otro dominio C2, greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132(.)su, que se resolvió en 104.171.170(.)21, una dirección IP propiedad del proveedor de alojamiento Resi Rack LLC, con sede en Utah. La empresa se anuncia como un “Proveedor de alojamiento de servidores de juegos premium”.
Esta conexión es crucial porque un informe reciente del periodista de seguridad independiente Brian Krebs reveló cómo las personas detrás de varios servicios proxy basados en botnets vendían su warez en un servidor de Discord llamado resi(.)to. Esto también incluye a los cofundadores de Resi Rack, que han estado vendiendo activamente servicios de proxy a través de Discord durante casi dos años.
El servidor, que desde entonces desapareció, pertenecía a alguien llamado “d” (presumiblemente abreviatura de “Allí”), siendo Snow presumiblemente el botmaster.
“A principios de octubre, observamos un aumento del 300 por ciento en la cantidad de nuevos bots agregados a Kimwolf durante un período de siete días. Este fue el comienzo de un aumento que alcanzó un total de 800.000 bots a mediados de mes”, dijo Black Lotus Labs. “Casi todos los bots de esta ola estaban a la venta en un único servicio de proxy privado”.
Posteriormente, se descubrió que la arquitectura Kimwolf C2 estaba escaneando PYPROXY y otros servicios en busca de dispositivos vulnerables entre el 20 de octubre de 2025 y el 6 de noviembre de 2025, comportamiento que se explica por la explotación por parte de la botnet de una vulnerabilidad en muchos servicios proxy, lo que le permitía interactuar con dispositivos en las redes internas de puntos finales de proxy privados y bloquear el malware.
Esto, a su vez, convierte el dispositivo en un nodo proxy residencial, haciendo que su dirección IP pública (asignada por el ISP) esté disponible para alquiler en el sitio web de un proveedor de proxy residencial. Los actores de amenazas, como los que están detrás de estas botnets, luego alquilan acceso al nodo infectado y lo utilizan como arma para escanear la red local en busca de dispositivos con el modo ADB habilitado para una mayor propagación.
“Después de una ruta nula exitosa (en octubre de 2025), observamos que el dominio de greatfirewallisacensorshiptool se movió a 104.171.170(.)201, otra IP propiedad de Resi Rack LLC”, señaló Black Lotus Labs. “Cuando este servidor estaba operativo, vimos un gran aumento en el tráfico a 176.65.149(.)19:25565, un servidor utilizado para alojar su malware. Esto ocurrió en un ASN compartido que fue utilizado simultáneamente por la botnet Aisuru”.
La divulgación se produce en medio de un informe de Chawkr que detalla una sofisticada red proxy de 832 enrutadores KeeneticOS comprometidos que operan en ISP rusos como Net By Net Holding LLC, VladLink y GorodSamara.
“Las huellas dactilares SSH consistentes y las configuraciones idénticas en los 832 dispositivos sugieren una explotación masiva automatizada, ya sea explotando credenciales robadas, puertas traseras integradas o vulnerabilidades conocidas en el firmware del enrutador”, dijo. “Cualquier enrutador comprometido conserva el acceso HTTP (puerto 80) y SSH (puerto 22)”.
Debido a que estos enrutadores SOHO comprometidos actúan como nodos proxy privados, brindan a los actores de amenazas la oportunidad de realizar actividades maliciosas al interferir con el tráfico normal de Internet. Esto pone de relieve cómo los atacantes utilizan cada vez más los dispositivos de consumo como conductos para ataques de varias etapas.
“A diferencia de las direcciones IP de los centros de datos o de las direcciones de proveedores de alojamiento conocidos, estos puntos finales de consumo operan bajo el radar de la mayoría de las listas de reputación y fuentes de inteligencia de amenazas de los proveedores de seguridad”, señaló Chawkr.
“Su clasificación privada legítima y su reputación de IP limpia permiten que el tráfico malicioso se haga pasar por una actividad ordinaria del consumidor y evite los mecanismos de detección que señalarían inmediatamente las solicitudes que se originan en una infraestructura de alojamiento sospechosa o en servicios proxy conocidos”.
About The Author
