Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap que apunta principalmente a los enrutadores Asus y los obliga a unirse a una botnet que envía tráfico malicioso.
Según el equipo de Black Lotus Labs de Lumen, el malware se detectó por primera vez en agosto de 2025 y se ha extendido a más de 14.000 dispositivos infectados, con más del 60% de las víctimas concentradas en Estados Unidos. Se han detectado menos contagios en Taiwán, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y España.
«KadNap emplea una versión personalizada del protocolo Kademlia Distributed Hash Table (DHT), que se utiliza para ocultar las direcciones IP de su infraestructura dentro de sistemas peer-to-peer y evadir el monitoreo de red tradicional», dijo la firma de ciberseguridad en un informe compartido con Hacker News.
Los nodos comprometidos en la red aprovechan el protocolo DHT para localizar y conectarse a servidores de comando y control (C2), haciéndolos más resistentes a la detección y la interrupción.
Una vez que un dispositivo se ve comprometido con éxito, lo vende un servicio proxy llamado Doppelgänger (“doppelganger(.)tienda”). Se cree que es un cambio de marca de Faceless, otro servicio proxy asociado con el malware TheMoon. El sitio web de Doppelganger afirma ofrecer un proxy residente que proporciona «100% de anonimato» en más de 50 países. Se dice que el servicio se lanzará en mayo o junio de 2025.
A pesar de su enfoque en los enrutadores Asus, se ha descubierto que los operadores de KadNap implementan malware contra una variedad de dispositivos de red perimetrales.
En el centro del ataque se encuentra un script de shell (‘aic.sh’) descargado de un servidor C2 (‘212.104.141(.)140’) que es responsable de iniciar el proceso de reclutamiento de víctimas en la red P2P. Este archivo crea un trabajo cron que recupera un script de shell del servidor cada hora a los 55 minutos, le cambia el nombre a «.asusrouter» y lo ejecuta.
Una vez que se establece la persistencia, el script recupera el archivo ELF malicioso, le cambia el nombre a «kad» y lo ejecuta. Esto, a su vez, conduce al lanzamiento de KadNap. Este malware puede atacar dispositivos que ejecutan procesadores ARM y MIPS.
KadNap está diseñado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora actual y almacenarla junto con el tiempo de actividad del host. Esta información sirve como base para crear hashes que se utilizan para encontrar otros pares en la red distribuida para recibir comandos o descargar archivos adicionales.
Los archivos, fwr.sh y /tmp/.sose, contienen una funcionalidad que cierra el puerto 22, el puerto TCP estándar para Secure Shell (SSH) en dispositivos infectados, y extrae una lista de combinaciones de puertos y direcciones IP C2 para conectarse.
«En resumen, el uso innovador del protocolo DHT permite que el malware se esconda detrás del ruido del tráfico legítimo entre pares y establezca un canal de comunicación sólido que sea difícil de interrumpir», dijo Lumen.
Un análisis más detallado revela que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura está categorizada según el tipo y modelo de dispositivo.
El equipo de Black Lotus Labs le dijo a The Hacker News que el robot Doppelgänger está siendo explotado por actores de amenazas salvajes. «Un problema es que estos Asus (y otros dispositivos) también pueden infectarse con otro malware al mismo tiempo, lo que hace difícil decir exactamente quién es responsable de una actividad maliciosa específica», dijo la compañía.
Recomendamos que los usuarios que ejecutan enrutadores SOHO mantengan sus dispositivos actualizados, los reinicien periódicamente, cambien las contraseñas predeterminadas, protejan las interfaces de administración y reemplacen los modelos al final de su vida útil y los modelos al final de su vida útil.
«La botnet KadNap se destaca entre las botnets que admiten servidores proxy anónimos en el uso de redes peer-to-peer para un control descentralizado», concluyó Lumen. «Su intención es clara: evitar la detección y dificultar la defensa de los defensores».
Surge la nueva amenaza para Linux ClipXDaemon
La divulgación se produce cuando Cyble detalla una nueva amenaza para Linux llamada ClipXDaemon que está diseñada para atacar a los usuarios de criptomonedas interceptando y cambiando las direcciones de billeteras copiadas. El malware Clipper se distribuye a través de un marco de post-explotación de Linux llamado ShadowHS y se describe como un secuestrador autónomo de portapapeles de criptomonedas dirigido a entornos Linux X11.
El malware se almacena completamente en la memoria y emplea técnicas sigilosas como el enmascaramiento de procesos y la evitación de sesiones de Wayland, mientras monitorea el portapapeles cada 200 milisegundos y reemplaza las direcciones de criptomonedas con billeteras controladas por el atacante. Puede apuntar a carteras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.
La decisión de evitar la ejecución en una sesión de Wayland es intencional, y la arquitectura de seguridad del protocolo del servidor de visualización implementa controles adicionales, como requerir la interacción explícita del usuario antes de que una aplicación pueda acceder al contenido del portapapeles. Al deshabilitar el malware en tales escenarios, su objetivo es eliminar el ruido y evitar errores de tiempo de ejecución.
«ClipXDaemon es fundamentalmente diferente del malware tradicional de Linux. ClipXDaemon no contiene lógica de comando y control (C2), no ejecuta balizas y no requiere tareas remotas», dijo la compañía. «En cambio, monetiza a las víctimas directamente secuestrando direcciones de billeteras de criptomonedas copiadas en sesiones X11 y reemplazándolas con direcciones controladas por atacantes en tiempo real».
Source link
