Botnet Kimwolf instalada en decodificadores de TV residenciales (TV BOX y SuperBOX)

La botnet conocida como Kimwolf ha infectado más de 2 millones de dispositivos Android mediante túneles a través de redes proxy residenciales, según los hallazgos de Synthient.

"Se observa que los actores clave involucrados en la botnet Kimwolf monetizan la botnet mediante instalaciones de aplicaciones, la venta de ancho de banda de proxy residencial y la venta de su funcionalidad DDoS", declaró la compañía en un análisis publicado la semana pasada.

Kimwolf fue documentado públicamente por primera vez por QiAnXin XLab el mes pasado, al tiempo que documentaba sus conexiones con otra botnet conocida como AISURU. Activa desde al menos agosto de 2025, se considera que Kimwolf es una variante de AISURU para Android. Cada vez hay más evidencia que sugiere que la botnet está detrás de una serie de ataques DDoS sin precedentes a finales del año pasado.

El malware convierte los sistemas infectados en canales para retransmitir tráfico malicioso y orquestar ataques de denegación de servicio distribuido (DDoS) a gran escala. Los principales objetivos de infección de Kimwolf son los decodificadores de TV instalados en entornos de red residenciales. Algunos de los modelos de dispositivos afectados incluyen TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. Las infecciones se encuentran distribuidas globalmente, con concentraciones más altas en Brasil, India, EE. UU., Argentina, Sudáfrica y Filipinas. Sin embargo, actualmente se desconoce el método exacto por el cual el malware se propaga a estos dispositivos.

Se ha descubierto que los ataques que distribuyen la botnet se dirigen principalmente a dispositivos Android que ejecutan un servicio Android Debug Bridge (ADB) expuesto mediante una infraestructura de escaneo que utiliza proxies residenciales para instalar el malware. Al menos el 67% de los dispositivos conectados a la botnet no están autenticados y tienen ADB habilitado por defecto.

Dada la dependencia de Kimwolf de proxies residenciales para las infecciones, recomendamos a todos los proveedores de proxy que bloqueen los puertos de alto riesgo y restrinjan el acceso a la red local. Los usuarios deben comprobar si están afectados visitando synthient.com/check. Las TV boxes infectadas deben ser borradas o destruidas. Las organizaciones deben bloquear las conexiones a los servidores y dominios C2 mencionados y supervisar el tráfico de red para detectar actividad sospechosa.

Se sospecha que estos dispositivos vienen preinfectados con kits de desarrollo de software (SDK) de proveedores de proxy para incorporarlos subrepticiamente a la botnet. Los principales dispositivos comprometidos incluyen televisores inteligentes y decodificadores Android no oficiales.

"Kimwolf es una botnet compilada con el NDK [Kit de Desarrollo Nativo]. Además de las capacidades típicas de un ataque DDoS, integra funciones de reenvío de proxy, shell inverso y gestión de archivos".

En diciembre de 2025, las infecciones de Kimwolf aprovecharon direcciones IP proxy ofrecidas en alquiler por IPIDEA, empresa china que implementó un parche de seguridad el 27 de diciembre para bloquear el acceso a dispositivos de red local y a varios puertos sensibles. IPIDEA se describe a sí misma como el "proveedor líder mundial de proxy IP", con más de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas direcciones IP diarias.

En otras palabras, el modus operandi consiste en aprovechar la red proxy de IPIDEA y otros proveedores de proxy, y luego crear un túnel a través de las redes locales de los sistemas que ejecutan el software proxy para distribuir el malware. La carga útil principal escucha en el puerto 40860 y se conecta a 85.234.91[.]247:1337 para recibir más comandos.

"La magnitud de esta vulnerabilidad no tenía precedentes, exponiendo millones de dispositivos a ataques", declaró Synthient.

Además, los ataques infectan los dispositivos con un servicio de monetización de ancho de banda conocido como Plainproxies Byteconnect SDK, lo que indica intentos más amplios de monetización. El SDK utiliza 119 servidores de retransmisión que reciben tareas de proxy de un servidor de comando y control, que luego son ejecutadas por el dispositivo comprometido.

Synthient afirmó haber detectado la infraestructura utilizada para realizar ataques de robo de credenciales dirigidos a servidores IMAP y sitios web populares.

"La estrategia de monetización de Kimwolf se hizo evidente desde el principio mediante su agresiva venta de proxies residenciales", declaró la compañía. "Al ofrecer proxies a precios tan bajos como 0,20 centavos por GB o 1.400 dólares al mes por ancho de banda ilimitado, varios proveedores de proxy lo adoptarían rápidamente".

"El descubrimiento de decodificadores de TV preinfectados y la monetización de estos bots a través de SDK secundarios como Byteconnect indica una relación cada vez más estrecha entre los actores de amenazas y los proveedores de proxy comerciales". Para contrarrestar el riesgo, se recomienda a los proveedores de proxy bloquear las solicitudes a direcciones RFC 1918, que son rangos de direcciones IP privadas. Se recomienda a las organizaciones bloquear los dispositivos que ejecutan shells ADB no autenticados para evitar el acceso no autorizado.

Fuente: THN

Suscríbete a nuestro Boletín