Los investigadores de ciberseguridad han advertido sobre una botnet que se está propagando activamente llamada “Botnet”. tsundere Está dirigido a usuarios de Windows.
La amenaza, activa desde mediados de 2025, está diseñada para ejecutar código JavaScript arbitrario recuperado de un servidor de comando y control (C2), dijo el investigador de Kaspersky Lisandro Ubiedo en un análisis publicado hoy.
Actualmente no hay detalles disponibles sobre la propagación del malware botnet; Sin embargo, en al menos un caso, se cree que los actores de amenazas detrás de la operación utilizaron una herramienta legítima de administración y monitoreo remoto (RMM) como conducto para descargar un archivo de instalación MSI desde un sitio comprometido.
Los nombres de los artefactos de malware: Valorant, r6x (Rainbow Six Siege). Es posible que el objetivo sean usuarios que buscan copias pirateadas de estos juegos.
Independientemente del método utilizado, el instalador MSI falso está diseñado para instalar Node.js y ejecutar un script de carga responsable de descifrar y ejecutar la carga útil principal relacionada con la botnet. También prepara el entorno descargando tres bibliotecas legítimas, a saber, ws, ethers y pm2, mediante el comando npm install.
“El paquete pm2 se instala para garantizar que el bot Tsundere permanezca activo y se utiliza para iniciar el bot”, explicó Ubiedo. “Además, pm2 ayuda a lograr persistencia en el sistema escribiendo en el registro y configurándose para reiniciar el proceso al iniciar sesión”.
El análisis de Kaspersky del panel C2 reveló que el malware también se distribuye en forma de un script de PowerShell que realiza una secuencia similar de acciones al implementar Node.js en el host comprometido y descargar ws y ethers como dependencias.
Si bien el infectador de PowerShell no usa PM2, realiza las mismas acciones observadas en el instalador de MSI al crear un valor de clave de registro que garantiza que el bot se ejecute cada vez que inicia sesión creando una nueva instancia de sí mismo.
La botnet Tsundere aprovecha la cadena de bloques Ethereum para recuperar detalles del servidor WebSocket C2 (por ejemplo, ws://193.24.123(.)68:3011 o ws://185.28.119(.)179:1234), creando un mecanismo robusto que permite a los atacantes rotar fácilmente la infraestructura mediante el uso de un contrato inteligente. El contrato se creó el 23 de septiembre de 2024 y hasta el momento ha pasado por 26 transacciones.
Una vez obtenida la dirección C2, verifica si es una URL WebSocket válida, luego establece una conexión WebSocket con la dirección específica y recibe el código JavaScript enviado desde el servidor. Kaspersky afirmó que no observó ningún comando de seguimiento del servidor durante el período de observación.
“La capacidad de evaluar código hace que el bot Tsundere sea relativamente simple, pero también proporciona flexibilidad y dinamismo, permitiendo a los administradores de botnets adaptarlo a una variedad de acciones”, dijo Kaspersky.
Las operaciones de botnet se ven facilitadas por un panel de control que permite a los usuarios registrados crear nuevos artefactos usando MSI o PowerShell, administrar funciones administrativas, ver la cantidad de bots en un momento dado, convertir sus bots en un proxy para enrutar tráfico malicioso e incluso explorar y comprar botnets a través de un mercado dedicado.
Se desconoce quién está exactamente detrás de Tsundere, pero la presencia del idioma ruso en el código fuente para fines de registro apunta a un actor de amenazas de habla rusa. Se descubre que la actividad tiene una superposición funcional con una campaña maliciosa de NPM documentada por Checkmarx, Phylum y Socket en noviembre de 2024.
Además, se encontró que el mismo servidor albergaba el panel C2, que está vinculado a una operación de robo de información llamada 123 Stealer, disponible mediante suscripción por 120 dólares al mes. Según el equipo KrakenLabs de Outpost24, fue promocionado por primera vez en un foro de la web oscura el 17 de junio de 2025 por un actor de amenazas llamado “koneko”.
Otro indicio del origen ruso es que los clientes tienen prohibido utilizar el ladrón contra Rusia y los países de la Comunidad de Estados Independientes (CEI). “La violación de esta regla resultará en la suspensión inmediata de su cuenta sin explicación”, dijo Koneko en la publicación en ese momento.
“Las infecciones pueden ocurrir a través de archivos MSI y PowerShell, que brindan flexibilidad para encubrir instaladores, usar phishing como punto de entrada o integrarse con otros mecanismos de ataque, lo que los convierte en una amenaza aún más peligrosa”, dijo Kaspersky.
About The Author
