La botnet llamada Kimwolf ha comprometido más de 2 millones de dispositivos Android utilizando túneles a través de redes proxy residenciales, según los informes de Synthient.
«Los actores clave de la botnet Kimwolf monetizan sus operaciones mediante la instalación de aplicaciones, la venta de ancho de banda de proxy residencial y la oferta de su funcionalidad DDoS»,
declaró la compañía
en un análisis divulgado la semana pasada.
Kimwolf fue
reportada públicamente
por primera vez por QiAnXin XLab el mes pasado, donde se señalaban sus conexiones con otra botnet denominada
AISURU. Activa desde al menos agosto de 2025, se considera que Kimwolf es una variante de AISURU diseñada para Android. Hay cada vez más evidencia que sugiere que la botnet ha estado detrás de numerosos ataques DDoS sin precedentes hacia finales del año pasado.
El malware transforma los sistemas infectados en canales para retransmitir tráfico malicioso y coordinar ataques de denegación de servicio distribuidos (DDoS) a gran escala.
Los objetivos principales de Kimwolf son los decodificadores de TV que operan en redes residenciales. Entre los modelos de dispositivos afectados se encuentran TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. Las infecciones están distribuidas globalmente, con mayores concentraciones en Brasil, India, EE. UU., Argentina, Sudáfrica y Filipinas. Sin embargo, el método exacto de propagación del malware hacia estos dispositivos aún se desconoce.
Los ataques que propagan esta botnet están dirigidos principalmente a dispositivos Android que tienen un servicio Android Debug Bridge (ADB) expuesto, mediante una infraestructura de escaneo que aprovecha proxies residenciales para instalar el malware. Al menos el 67% de los dispositivos conectados a la botnet carecen de autenticación y tienen ADB habilitado por defecto.
Dada la dependencia de Kimwolf en los proxies residenciales para las infecciones, recomendamos a todos los proveedores de proxy que bloqueen puertos de alto riesgo y restrinjan el acceso a la red local. Los usuarios deben verificar si están afectados visitando
synthient.com/check.
Se deben eliminar o destruir las TV boxes infectadas. Las organizaciones deben bloquear las conexiones a los servidores y dominios C2 mencionados y monitorear el tráfico de red en busca de actividades sospechosas.
Se sospecha que algunos dispositivos llegan preinfectados con kits de desarrollo de software (SDK) de proveedores de proxy, lo que permite su inclusión clandestina en la botnet. Los
principales dispositivos comprometidos
incluyen televisores inteligentes y decodificadores Android no oficiales.
«Kimwolf es una botnet construida con el NDK [Kit de Desarrollo Nativo]. Más allá de las capacidades típicas de un ataque DDoS, incorpora funciones de reenvío de proxy, shell inverso y gestión de archivos».
En diciembre de 2025, las infecciones de Kimwolf aprovecharon direcciones IP proxy ofrecidas en alquiler por IPIDEA, una empresa china que implementó un parche de seguridad el 27 de diciembre para bloquear el acceso a dispositivos en la red local y a varios puertos sensibles.
IPIDEA se presenta como el «proveedor líder mundial de proxy IP», con más de 6,1 millones de direcciones IP actualizadas a diario y 69,000 nuevas direcciones IP cada día.
En resumen, el modus operandi consiste en aprovechar la red proxy de IPIDEA y otros proveedores de proxy, creando un túnel a través de las redes locales de los sistemas que ejecutan el software proxy para propagar el malware. La carga útil principal escucha en el puerto 40860 y se conecta a 85.234.91[.]247:1337 para recibir más comandos.
«La magnitud de esta vulnerabilidad es sin precedentes, exponiendo millones de dispositivos a ataques», afirmó Synthient.
Además, los ataques instalan en los dispositivos un servicio de monetización de ancho de banda conocido como Plainproxies Byteconnect SDK, indicando intentos de monetización más amplios. Este SDK utiliza 119 servidores de retransmisión que reciben instrucciones de un servidor de comando y control, que luego son ejecutadas por el dispositivo comprometido.
Synthient ha detectado la infraestructura empleada para realizar ataques de robo de credenciales, dirigiéndose a servidores IMAP y sitios web populares.
«La estrategia de monetización de Kimwolf fue evidente desde el principio por su agresiva oferta de proxies residenciales», comentó la compañía. «Al ofrecer proxies a precios tan bajos como 0,20 centavos por GB o 1,400 dólares al mes por ancho de banda ilimitado, varios proveedores de proxy se verían atraídos rápidamente».
«El hallazgo de decodificadores de TV preinfectados y la monetización de estos bots a través de SDK secundarios como Byteconnect evidencia una relación cada vez más estrecha entre actores de amenazas y proveedores de proxy comerciales». Para mitigar el riesgo, se aconseja a los proveedores de proxy bloquear solicitudes a direcciones RFC 1918, que corresponden a
direcciones IP privadas. Asimismo, las organizaciones deben bloquear dispositivos que tengan
shells ADB no autenticados para prevenir accesos no autorizados.
Fuente:
THN
Con Información de blog.segu-info.com.ar