Según los hallazgos de Synthient, la botnet conocida como Kimwolf infectó más de 2 millones de dispositivos Android mediante túneles a través de redes proxy residenciales.
«Se ha observado que los principales actores involucrados en la botnet Kimwolf monetizan la botnet mediante la instalación de aplicaciones, la venta de ancho de banda de proxy residencial y la venta de capacidades DDoS», dijo la compañía en un análisis publicado la semana pasada.
Kimwolf fue documentado públicamente por primera vez por QiAnXin XLab el mes pasado, con conexiones documentadas a otra botnet conocida como AISURU. Kimwolf ha estado activo desde al menos agosto de 2025 y se considera una variante de Android de AISURU. A finales del año pasado, hay cada vez más pruebas de que las botnets están detrás de una serie de ataques DDoS sin precedentes.
El malware convierte los sistemas infectados en un conducto para retransmitir tráfico malicioso y orquestar ataques distribuidos de denegación de servicio (DDoS) a gran escala. La mayoría de las infecciones se concentran en Vietnam, Brasil, India y Arabia Saudita, y Synthient monitorea aproximadamente 12 millones de direcciones IP únicas cada semana.
Se ha descubierto que los ataques que distribuyen botnets se dirigen principalmente a dispositivos Android que ejecutan el servicio expuesto Android Debug Bridge (ADB) utilizando una infraestructura de escaneo que utiliza servidores proxy residentes para instalar malware. Más del 67% de los dispositivos conectados a botnets no están autenticados y tienen ADB habilitado de forma predeterminada.
Se cree que estos dispositivos están preinfectados con kits de desarrollo de software (SDK) de proveedores de proxy para unirse de forma encubierta a la botnet. Los principales dispositivos comprometidos incluyen televisores inteligentes y decodificadores no oficiales basados en Android.
En diciembre de 2025, la infección Kimwolf utilizaba direcciones IP proxy alquiladas por IPIDEA, con sede en China. IPIDEA implementó un parche de seguridad el 27 de diciembre que bloqueó el acceso a dispositivos de la red local y varios puertos sensibles. IPIDEA se describe a sí misma como «el proveedor líder mundial de servidores proxy IP» con más de 6,1 millones de direcciones IP actualizadas cada día y 69.000 nuevas direcciones IP cada día.
En resumen, el truco consiste en utilizar la red proxy de IPIDEA y otros proveedores de proxy para hacer un túnel a través de la red local del sistema que ejecuta el software proxy y eliminar el malware. La carga útil principal escucha en el puerto 40860 y se conecta al 85.234.91(.)247:1337 para recibir más comandos.
«La escala de esta vulnerabilidad no tiene precedentes, con millones de dispositivos expuestos», afirmó Synthient.
Además, el ataque infectó dispositivos con un servicio de monetización de ancho de banda conocido como Plainproxies Byteconnect SDK, lo que indica un intento de monetización más amplio. El SDK utiliza 119 servidores de retransmisión que reciben tareas de proxy de servidores de comando y control, que luego son ejecutadas por dispositivos comprometidos.
Synthient anunció que descubrió una infraestructura utilizada para llevar a cabo ataques de relleno de credenciales dirigidos a servidores IMAP y sitios web populares en línea.
«La estrategia de monetización de Kim Wolf se hizo evidente desde el principio a través de ventas agresivas de proxy residenciales», dijo la compañía. «Ofrecer un proxy por 0,20 centavos por GB, o 1,4 millones de dólares al mes con ancho de banda ilimitado, conducirá a una adopción temprana por parte de varios proveedores de proxy».
«El descubrimiento de cajas de TV preinfectadas y la monetización de estos bots a través de SDK secundarios como Byteconnect indica una relación cada vez más profunda entre los actores de amenazas y los proveedores de proxy comerciales».
Para combatir el riesgo, se recomienda a los proveedores de proxy que bloqueen las solicitudes a direcciones RFC 1918, que son rangos de direcciones IP privadas definidos para su uso en redes privadas. Recomendamos que las organizaciones bloqueen los dispositivos que ejecutan shells ADB no autenticados para evitar el acceso no autorizado.
Source link
