
Investigadores de ciberseguridad han revelado detalles de un marco de botnet de Internet de las cosas (IoT) no informado anteriormente llamado TuxBot v3 Evolution. Este marco ha mostrado signos de desarrollarse con la ayuda de modelos lingüísticos a gran escala (LLM), pero los resultados no han sido muy exitosos.
«La IA cumplió con la solicitud de generar código de botnet, que incluía un descargo de responsabilidad de seguridad que el desarrollador no eliminó antes del envío», dijo la Unidad 42 de Palo Alto Networks en un comunicado. «Si bien está claro que LLM ayudó a construir la botnet, algunas características de las muestras analizadas no funcionaron correctamente».
La firma de ciberseguridad dijo que la revisión manual del código podría haber resuelto estos errores y que es posible que exista malware más sofisticado.
Un marco de botnet consta de varios componentes. Un agente bot basado en C que realiza compilaciones cruzadas para múltiples arquitecturas (ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC, RISC-V, etc.), un servidor de comando y control (C2) basado en Go con un panel de alquiler de DDoS, una máquina virtual de explotación personalizada, una infraestructura de prueba basada en Docker y un sistema de compilación automatizado.
El agente bot está diseñado para forzar el acceso Telnet a dispositivos de destino utilizando 1496 pares de credenciales y también incluye código de explotación que aprovecha vulnerabilidades conocidas para apuntar a más de 30 familias de dispositivos de IoT. Se comunica con el servidor C2 a través de un canal TCP cifrado y aprovecha el algoritmo de generación de dominios (DGA) SHA512, el protocolo de chismes peer-to-peer (P2P) con comandos firmados Ed25519, Internet Relay Chat (IRC), consultas DNS TXT y sondeo HTTP como mecanismos alternativos.
El linaje de este marco modular se remonta a tres botnets diferentes, incluidas Mirai, AISURU y Wuhan, además de trasladar parcialmente algunas de sus funciones del kit de herramientas DDoS Python de código abierto MHDDoS. Al menos una muestra de este malware se subió a la plataforma VirusTotal el 20 de enero de 2026, lo que indica que existe desde hace más de seis meses. La evidencia sugiere que el trabajo de la botnet comenzó un año antes, cuando su creador clonó el repositorio MHDDoS de GitHub.
«Según la descripción del marco, los desarrolladores de TuxBot han creado una plataforma de marco C2 de nivel profesional con un panel de administración multiusuario, implementación automatizada y capacidades de ataque modular», dijeron los investigadores Chris Navarrete, Asher Davila y Doel Santos.
El componente del servidor C2 basado en Go utiliza tres puertos TCP diferentes para las conexiones entrantes.
Puerto TCP 1999 (o 31337). Se utiliza para manejar el envío de comandos cifrados a bots conectados. Puerto TCP 2222. Proporciona un shell interactivo a los operadores a través de SSH. Puerto TCP 9999. Utiliza la interfaz JSON para acceso programático.

Cuando se lanza una botnet, realiza una serie de acciones según una secuencia de inicialización predefinida.
Carga de direcciones C2 desde una arquitectura de varios niveles con un canal principal y cinco mecanismos alternativos Configuración de protección anti-depuración y anti-VM para verificar la ejecución de herramientas de análisis Ocultación de nombres de procesos Instalación de persistencia Lanzamiento de varios submódulos para lanzar ataques DDoS, terminación de procesos conflictivos, establecimiento de canales C2 a través de IRC, HTTP, DNS y P2P, Telnet, SSH, HTTP y Android Debug Bridge (ADB), proxy SOCKS5 y marcador de posición de minería de criptomonedas
Específicamente, el escáner HTTP dedicado funciona con el objetivo de detectar interfaces web vulnerables y puede gestionar hasta 128 conexiones simultáneas en un momento dado. La persistencia, por otro lado, se logra a través de servicios systemd, entradas cron y procesos de vigilancia para garantizar que TuxBot continúe operando en máquinas comprometidas.
«Varios archivos contienen razonamientos en bruto de la cadena de pensamiento de LLM que se dejan intactos en los comentarios», dijo Unit42. «Estos comentarios son el razonamiento interno de LLM mientras trabajaba en la tarea de portabilidad. Este razonamiento se completa con autointerrupciones, decisiones y referencias al ‘usuario’ (es decir, el desarrollador que impulsó el LLM)».
Aunque TuxBot v3 Evolution es una botnet en desarrollo, sus capacidades operativas principales, junto con su dependencia de la IA, indican una integración acelerada de capacidades, al tiempo que permite que lo que parece ser un único desarrollador cree un conjunto de herramientas versátil con múltiples canales C2, máquinas virtuales con exploits personalizados y un panel de alquiler de DDoS basado en Go.
“La infraestructura compartida que utiliza Kaitori v3.9 y las herramientas AISURU coloca a los operadores de TuxBot dentro del ecosistema Keksec”, concluyó la Unidad 42. «Se sabe que el grupo ejecuta múltiples variantes de botnet IoT en paralelo. TuxBot parece ser otra variante en su cartera, destinada a ir más allá de la bifurcación Mirai habitual con C2 cifrado, DGA y un sistema de explotación modular. Sin embargo, ese sistema aún no es funcional en la versión que recuperamos».
La divulgación se produce tras la aparición de otras dos botnets, llamadas RustDuck y AryStinger, que tienen como objetivo enrutadores, cámaras IP, dispositivos Android y servidores mal protegidos, incorporándolos a redes creadas para desconectar servicios en línea y realizar reconocimientos.
Source link
