El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves que ha interrumpido la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT), incluidas AISURU, Kimwolf, JackSkid y Mossad, como parte de una operación policial autorizada por el tribunal.
En este esfuerzo, las autoridades de Canadá y Alemania también están apuntando a los operadores detrás de estas botnets, y varias empresas privadas están ayudando en los esfuerzos de investigación, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab.
«Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo», dijo el Departamento de Justicia. «Algunos de estos ataques midieron alrededor de 30 terabits por segundo, lo que supuso un ataque sin precedentes».
En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. A finales del año pasado, se consideró que la botnet era responsable de ataques DDoS a gran escala con un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).
El periodista de seguridad independiente Brian Krebs también identificó al administrador de Kim Wolf como Jacob Butler (también conocido como Dort), un residente de Ottawa, Canadá, de 23 años. Butler le dijo a Krebs que no había usado la personalidad de Dort desde 2021 y afirmó que alguien se estaba haciendo pasar por él después de comprometer su antigua cuenta.
Butler también dijo: «Debido a su autismo y sus dificultades con la interacción social, la mayor parte del tiempo se queda en casa y ayuda a su madre». El otro sospechoso principal es un joven de 15 años residente en Alemania, dijo Krebs. No se han anunciado arrestos.
La botnet se ha apoderado de más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android comprometidos de otras compañías. En conjunto, se estima que las cuatro botnets han infectado más de 3 millones de dispositivos en todo el mundo, incluidos grabadores de vídeo digitales, cámaras web y enrutadores Wi-Fi, cientos de miles de los cuales se encuentran en los Estados Unidos.
«Se sospecha que las botnets Kimwolf y JackSkid atacan e infectan dispositivos que tradicionalmente están ‘protegidos’ desde otras partes de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets», dijo el Departamento de Justicia. «Luego, los operadores vendieron el acceso a los dispositivos infectados a otros ciberdelincuentes utilizando un modelo de ‘ciberdelito como servicio'».
Estos dispositivos infectados se utilizaron para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales afirman que cuatro variantes de la botnet Mirai emitieron cientos de miles de comandos de ataque DDoS.
AISURU – >200.000 comandos de ataque DDoS Kimwolf – >25.000 comandos de ataque DDoS JackSkid – >90.000 comandos de ataque DDoS Mossad – >1.000 comandos de ataque DDoS
«Kimwolf representa un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf explotó un nuevo vector de ataque: las redes proxy residenciales», dijo Tom Scholl, vicepresidente e ingeniero especial de AWS, en una publicación compartida en LinkedIn.
«Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, como cajas de TV por streaming y otros dispositivos IoT, las botnets han obtenido acceso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos».
Lumen Black Lotus Labs dijo en un comunicado compartido con The Hacker News que desvió casi 1.000 de los servidores C2 utilizados por AISURU y más tarde por Kimwolf. Según los datos recopilados por la empresa de ciberseguridad, las víctimas de Jackskid promediaron más de 150.000 personas por día en las dos primeras semanas de marzo de 2026, llegando a 250.000 el 8 de marzo. El Mossad promedió más de 100.000 víctimas por día durante el mismo período.
«El problema es que con tantos dispositivos vulnerables, sucedieron dos cosas: primero, Kimwolf demostró ser increíblemente resistente», dijo Ryan English, investigador de seguridad de Black Lotus Labs en Lumen. «El segundo problema es que varias botnets nuevas han comenzado a emular esta técnica para aprovechar esta vulnerabilidad y crecer muy rápidamente».
Akamai dijo que las botnets masivas generaron ataques a 30 Tbps, 14 mil millones de paquetes por segundo y más de 300 Mrps, y agregó que los ciberdelincuentes utilizaron estas botnets para lanzar cientos de miles de ataques, en algunos casos exigiendo pagos de extorsión a las víctimas.
«Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso abrumar los servicios de mitigación basados en la nube de alta capacidad», dijo la compañía de infraestructura web.
Source link
