Una nueva botnet de denegación de servicio distribuido (DDoS) llamada kimlobo ha reclutado un ejército masivo de hasta 1,8 millones de dispositivos infectados, incluidos televisores, descodificadores y tabletas con Android, y podría estar vinculado a otra botnet llamada AISURU, según los hallazgos de QiAnXin XLab.
“Kimwolf es una botnet compilada con el NDK (Native Development Kit)”, dijo la compañía en un informe publicado hoy. “Además de las funciones típicas de ataque DDoS, integra funciones de reenvío de proxy, shell inverso y gestión de archivos”.
Se estima que la botnet de hiperescala emitió 1.700 millones de comandos de ataque DDoS en un período de tres días entre el 19 y el 22 de noviembre de 2025, aproximadamente al mismo tiempo que uno de sus dominios de comando y control (C2), 14emeliaterracewestroxburyma02132(.)su, ocupó el primer lugar en la lista de los 100 dominios principales de Cloudflare, superando brevemente incluso a Google.
Los principales objetivos de infección de Kimwolf son las cajas de TV utilizadas en entornos de redes privadas. Los modelos de dispositivos afectados incluyen TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. Las infecciones están dispersas por todo el mundo, y Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas registran concentraciones más altas. Sin embargo, actualmente no está claro cómo se propaga exactamente el malware a estos dispositivos.
XLab dijo que su investigación sobre la botnet comenzó después de recibir un artefacto “versión 4” de Kimwolf de un socio comunitario de confianza el 24 de octubre de 2025. Desde entonces, el mes pasado se descubrieron otras ocho muestras.
“Observamos que los dominios C2 de Kimwolf fueron eliminados con éxito por partes desconocidas al menos tres veces (en diciembre), lo que obligó a la empresa a mejorar sus tácticas y recurrir al uso de ENS (Ethereum Name Service) para reforzar su infraestructura, demostrando su poderosa capacidad evolutiva”, dijeron los investigadores de XLab.
Eso no es todo. A principios de este mes, XLab logró tomar con éxito el control de uno de los dominios C2, evaluando así el alcance de la botnet.
Un aspecto interesante de Kimwolf es que está vinculado a la infame botnet AISURU, que estuvo detrás de algunos de los ataques DDoS que batieron récords el año pasado. Se sospecha que los atacantes reutilizaron el código de AISURU en las primeras etapas antes de decidir desarrollar la botnet Kimwolf para evitar ser detectados.
XLab dijo que es posible que algunos de estos ataques no provinieran únicamente de AISURU y que Kimwolf estuviera involucrado o incluso liderando el esfuerzo.
“Estas dos grandes botnets se propagaron a través de los mismos scripts de infección entre septiembre y noviembre y existieron simultáneamente en el mismo grupo de dispositivos”, dijo la compañía. “En realidad pertenecen al mismo grupo de hackers”.
Esta evaluación se basa en similitudes en los paquetes APK cargados en la plataforma VirusTotal, que en algunos casos incluso utilizan el mismo certificado de firma de código (“John Dinglebert Dinglenut VIII VanSack Smith”). El 8 de diciembre de 2025 se obtuvieron más pruebas definitivas con el descubrimiento de un servidor de descarga activo (“93.95.112(.)59”) que contenía un script que apuntaba a los APK de Kimwolf y AISURU.
El malware en sí es bastante simple. Una vez iniciado, garantiza que solo se ejecute una instancia del proceso en el dispositivo infectado. Luego descifra el dominio C2 integrado, utiliza DNS sobre TLS para obtener la dirección IP C2 y se conecta a él para recibir y ejecutar comandos.
Las versiones recientes del malware botnet, descubierto el 12 de diciembre de 2025, han introducido una técnica llamada EtherHiding, que utiliza un dominio ENS (“pawsatyou(.)eth”) para obtener la IP C2 real del contrato inteligente asociado (0xde569B825877c47fE637913eCE5216C644dE081F) a la infraestructura para hacer que los esfuerzos de eliminación sean más resistentes.
Específicamente, implica extraer una dirección IPv6 del campo “lol” de la transacción, luego tomar los últimos cuatro bytes de la dirección y realizar una operación XOR con la clave “0x93141715” para obtener la dirección IP real.
Además de cifrar datos confidenciales asociados con servidores C2 y solucionadores de DNS, Kimwolf utiliza cifrado TLS para que las comunicaciones de red reciban comandos DDoS. En total, el malware admite 13 métodos de ataque DDoS mediante UDP, TCP e ICMP. Según XLab, los objetivos de los ataques se encuentran en EE.UU., China, Francia, Alemania y Canadá.
Un análisis más detallado reveló que más del 96% de los comandos estaban relacionados con el uso de nodos de bot para proporcionar servicios de proxy. Esto indica los intentos de los atacantes de explotar el ancho de banda de los dispositivos comprometidos y maximizar las ganancias. Como parte de este esfuerzo, se implementa un módulo Command Client basado en Rust para formar una red proxy.
También se entrega a los nodos un kit de desarrollo de software (SDK) ByteConnect, una solución de monetización que permite a los desarrolladores de aplicaciones y propietarios de dispositivos IoT monetizar su tráfico.
“En 2016 surgieron enormes botnets con Mirai, con objetivos de infección centrados principalmente en dispositivos de IoT, como cámaras y enrutadores de banda ancha domésticos”, dijo XLab. “Sin embargo, en los últimos años se ha publicado información sobre varios botnets gigantes multimillonarios como Badbox, Bigpanzi, Vo1d y Kimwolf, lo que sugiere que algunos atacantes han comenzado a centrar su atención en varios televisores inteligentes y decodificadores”.
About The Author
