QiAnXin
«Kimwolf es una botnet compilada utilizando el NDK (Native Development Kit)», dijo la compañía en un informe publicado hoy. «Además de las capacidades típicas de ataque DDoS, integra capacidades de reenvío de proxy, shell inverso y administración de archivos».
Se estima que la botnet de hiperescala emitió 1.700 millones de comandos de ataque DDoS en un período de tres días del 19 al 22 de noviembre de 2025, aproximadamente al mismo tiempo que uno de sus dominios de comando y control (C2), 14emeliaterracewestroxburyma02132(.)su, ocupó el puesto número 1 en la lista de los 100 dominios principales de Cloudflare. y en un momento incluso superó a Google.
El principal objetivo de infección de Kimwolf son las cajas de TV instaladas en entornos de redes residenciales. Los modelos de dispositivos afectados incluyen TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. Las infecciones están dispersas por todo el mundo, con concentraciones más altas registradas en Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas. Sin embargo, actualmente se desconoce el medio exacto por el que el malware se propaga a estos dispositivos.
XLab dijo que comenzó a investigar la botnet después de recibir artefactos de la «versión 4» de Kimwolf de un socio comunitario confiable el 24 de octubre de 2025. Desde entonces, se han descubierto ocho muestras más en el último mes.
«Observamos que el dominio C2 de Kim Wolf fue eliminado con éxito por partes desconocidas en al menos tres ocasiones (en diciembre). Esto obligó a Kim Wolf a actualizar sus tácticas y cambiar al uso de ENS (Ethereum Name Service) para reforzar su infraestructura, demostrando sus fuertes capacidades evolutivas», dijeron los investigadores de XLab.
Eso no es todo. A principios de este mes, XLab tomó con éxito el control de uno de los dominios C2, lo que nos permitió evaluar el tamaño de la botnet.
Lo interesante de Kimwolf es que está vinculado a la infame botnet AISURU, que está detrás de ataques DDoS sin precedentes durante el año pasado. Se sospecha que los atacantes reutilizaron el código de AISURU en sus primeras etapas antes de optar por desarrollar la botnet Kimwolf para evadir la detección.
XLab dijo que algunos de estos ataques pueden no deberse únicamente a AISURU, y que Kim Wolf puede estar participando o incluso liderando el esfuerzo.
«Estas dos principales botnets se propagaron a través del mismo script de infección y coexistieron dentro del mismo lote de dispositivos de septiembre a noviembre», dijo la compañía. «En realidad, pertenecen al mismo grupo de hackers».
Esta calificación se basa en la similitud de los paquetes APK cargados en la plataforma VirusTotal, en algunos casos incluso utilizando el mismo certificado de firma de código (‘John Dinglebert Dinglenut VIII VanSack Smith’). El 8 de diciembre de 2025 llegaron más pruebas concluyentes con el descubrimiento de un servidor de descarga activo (“93.95.112(.)59”) que contenía scripts que hacían referencia a los APK de Kimwolf y AISURU.
El malware en sí es muy simple. Una vez iniciado, garantiza que solo se esté ejecutando una instancia del proceso en el dispositivo infectado, procede a descifrar el dominio C2 integrado, utiliza DNS sobre TLS para obtener la dirección IP C2 y se conecta a él para recibir y ejecutar comandos.
La última versión del malware botnet, detectada el 12 de diciembre de 2025, utiliza EtherHiding para aprovechar el dominio ENS (‘pawsatyou(.)eth’) para obtener la IP C2 real del contrato inteligente asociado (0xde569B825877c47fE637913eCE5216C644dE081F). Se ha introducido un método conocido como este. Esto es para hacer que nuestra infraestructura sea más resistente al sabotaje.
Específicamente, implica extraer la dirección IPv6 del campo «lol» de la transacción, tomar los últimos 4 bytes de la dirección y realizar una operación XOR con la clave «0x93141715» para obtener la dirección IP real.
Además de cifrar datos confidenciales relacionados con sus servidores C2 y solucionadores de DNS, Kimwolf utiliza el cifrado TLS para que las comunicaciones de red reciban comandos DDoS. En total, el malware admite 13 técnicas de ataque DDoS mediante UDP, TCP e ICMP. Según XLab, los objetivos están en Estados Unidos, China, Francia, Alemania y Canadá.
Un análisis más detallado reveló que más del 96% de los comandos estaban relacionados con el uso de nodos bot para proporcionar servicios proxy. Esto indica que los atacantes están intentando explotar el ancho de banda de los dispositivos comprometidos para maximizar sus ganancias. Como parte del esfuerzo, se implementará un módulo de cliente de comando basado en Rust para formar una red proxy.
El nodo también proporciona el kit de desarrollo de software (SDK) ByteConnect, una solución de monetización que permite a los desarrolladores de aplicaciones y propietarios de dispositivos IoT monetizar su tráfico.
«La gran botnet se originó con Mirai en 2016, y sus infecciones se centran principalmente en dispositivos de IoT, como cámaras y enrutadores de banda ancha domésticos», dijo XLab. «Sin embargo, en los últimos años, se ha publicado información sobre varios megabotnets de millones de niveles, como Badbox, Bigpanzi, Vo1d y Kimwolf, lo que indica que algunos atacantes están empezando a centrarse en varios televisores inteligentes y decodificadores».
Source link
