Los investigadores de ciberseguridad han advertido que una botnet llamada «Tsundere» dirigida a usuarios de Windows se está expandiendo activamente.
El investigador de Kaspersky, Lisandro Uviedo, dijo en un análisis publicado hoy que la amenaza ha estado activa desde mediados de 2025 y está diseñada para ejecutar código JavaScript arbitrario recuperado de servidores de comando y control (C2).
Actualmente se desconocen los detalles sobre cómo se propaga el malware botnet. Sin embargo, en al menos un caso, los atacantes detrás de esta operación supuestamente utilizaron herramientas legítimas de administración y monitoreo remoto (RMM) como conducto para descargar archivos de instalación MSI desde un sitio comprometido.
Los nombres dados a los artefactos de malware (Valorant, r6x (Rainbow Six Siege X) y cs2 (Counter-Strike 2)) también sugieren que el implante puede propagarse mediante señuelos de juego. Los usuarios que buscan versiones pirateadas de estos juegos pueden ser el objetivo.
Independientemente del método utilizado, el instalador MSI falso está diseñado para instalar Node.js e iniciar un script de carga que es responsable de descifrar y ejecutar la carga útil principal relacionada con la botnet. Además, utilice el comando ‘npm install’ para preparar el entorno descargando tres bibliotecas oficiales: ws, ethers y pm2.
«El paquete pm2 se instala para garantizar que el bot Tsundere permanezca activo y se utiliza para iniciar el bot», explicó Uviedo. «Además, pm2 logra persistencia en el sistema escribiendo en el registro y configurándose para reiniciar los procesos al iniciar sesión».
El análisis de Kaspersky Lab del panel C2 reveló que el malware también se propaga en forma de scripts de PowerShell. Este script realiza un conjunto de acciones similar al implementar Node.js en el host comprometido y descargar ws y ethers como dependencias.
Los infectores de PowerShell no aprovechan pm2, pero realizan las mismas acciones observadas en los instaladores de MSI mediante la creación de valores de clave de registro. Esto generará una nueva instancia del propio bot y hará que se ejecute en cada inicio de sesión.
La botnet Tsundere aprovecha la cadena de bloques Ethereum para obtener detalles del servidor WebSocket C2 (como ws://193.24.123(.)68:3011 o ws://185.28.119(.)179:1234), creando un mecanismo resistente que permite a los atacantes rotar la infraestructura simplemente mediante el uso de contratos inteligentes. Este contrato fue creado el 23 de septiembre de 2024 y ha dado lugar a 26 transacciones hasta la fecha.
Una vez obtenida la dirección C2, verifica que sea una URL WebSocket válida, procede a establecer una conexión WebSocket con la dirección específica y recibe el código JavaScript enviado por el servidor. Kaspersky dijo que no se observaron comandos posteriores del servidor durante el período de observación.
«La capacidad de evaluar el código hace que los bots Tsundere sean relativamente simples, pero también tienen flexibilidad y dinamismo que permite a los administradores de botnets adaptarlos a una amplia gama de acciones», dijo Kaspersky.
Las operaciones de botnet se ven facilitadas por un panel de control donde los usuarios que han iniciado sesión pueden usar MSI o PowerShell para crear nuevos artefactos, administrar funciones administrativas, ver la cantidad de bots en un momento dado, convertir bots en servidores proxy para enrutar tráfico malicioso y explorar y comprar botnets a través de un mercado dedicado.
No está claro exactamente quién está detrás de Tsundere, pero la presencia del ruso en el código fuente para fines de registro sugiere que se trata de un atacante de habla rusa. Se ha evaluado que esta actividad está funcionalmente duplicada con una campaña npm maliciosa documentada por Checkmarx, Phylum y Socket en noviembre de 2024.
Además, se ha identificado que el mismo servidor alberga un panel C2 asociado con el ladrón de información conocido como 123 Stealer, que está disponible con una suscripción de $120 por mes. Según el equipo KrakenLabs de Outpost24, fue promovido por primera vez por un actor de amenazas llamado «koneko» en un foro de la web oscura el 17 de junio de 2025.
Otra pista de sus orígenes rusos es que los clientes tienen prohibido utilizar el ladrón para apuntar a Rusia y los países de la Comunidad de Estados Independientes (CEI). «La violación de esta regla resultará en que su cuenta sea inmediatamente bloqueada sin explicación», dijo Koneko en una publicación en ese momento.
«Las infecciones pueden ocurrir a través de archivos MSI o PowerShell, que son lo suficientemente flexibles como para hacerse pasar por instaladores, servir como puntos de entrada de phishing o integrarse con otros mecanismos de ataque, lo que los convierte en una amenaza aún mayor», dijo Kaspersky.
Source link
