La red de bots conocida como kimlobo ha infectado más de 2 millones de dispositivos Android mediante túneles a través de redes proxy residenciales, según los hallazgos de Synthient.
«Se observa que los actores clave involucrados en la botnet Kimwolf monetizan la botnet a través de instalaciones de aplicaciones, venden ancho de banda de proxy residencial y venden su funcionalidad DDoS», dijo la compañía. dicho en un análisis publicado la semana pasada.
Kimwolf era documentado públicamente por primera vez por QiAnXin XLab el mes pasado, mientras documentaba sus conexiones con otra botnet conocida como AISURU. Activo desde al menos agosto de 2025, se considera que Kimwolf es una variante de Android de AISURU. Cada vez hay más pruebas que sugieren que la botnet está en realidad detrás de una serie de Ataques DDoS que baten récords a finales del año pasado.
El malware convierte los sistemas infectados en conductos para retransmitir tráfico malicioso y orquestar ataques distribuidos de denegación de servicio (DDoS) a escala. La gran mayoría de las infecciones se concentran en Vietnam, Brasil, India y Arabia Saudita, y Synthient observa aproximadamente 12 millones de direcciones IP únicas por semana.
Se ha descubierto que los ataques que distribuyen la botnet se dirigen principalmente a dispositivos Android que ejecutan un servicio Android Debug Bridge (ADB) expuesto utilizando una infraestructura de escaneo que utiliza servidores proxy residenciales para instalar el malware. No menos del 67% de los dispositivos conectados a la botnet no están autenticados y tienen ADB habilitado de forma predeterminada.
Se sospecha que estos dispositivos vienen preinfectados con kits de desarrollo de software (SDK) de proveedores de proxy para incluirlos subrepticiamente en la botnet. El principales dispositivos comprometidos incluyen televisores inteligentes y decodificadores no oficiales basados en Android.
En diciembre de 2025, las infecciones de Kimwolf aprovecharon las direcciones IP proxy ofrecidas en alquiler por IPIDEA, con sede en China, que implementó un parche de seguridad el 27 de diciembre para bloquear el acceso a dispositivos de red local y varios puertos sensibles. IPIDEA describe a sí mismo como el «proveedor líder mundial de proxy IP» con más de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas direcciones IP diarias.
En otras palabras, el modus operandi es aprovechar la red proxy de IPIDEA y otros proveedores de proxy, y luego hacer un túnel a través de las redes locales de los sistemas que ejecutan el software proxy para eliminar el malware. La carga útil principal escucha en el puerto 40860 y se conecta al 85.234.91[.]247:1337 para recibir más comandos.
«La escala de esta vulnerabilidad no tenía precedentes y expuso a millones de dispositivos a ataques», dijo Synthient.
Además, los ataques infectan los dispositivos con un servicio de monetización de ancho de banda conocido como Plainproxies Byteconnect SDK, lo que indica intentos más amplios de monetización. El SDK utiliza 119 servidores de retransmisión que reciben tareas de proxy desde un servidor de comando y control, que luego son ejecutadas por el dispositivo comprometido.
Synthient dijo que detectó la infraestructura que se utiliza para realizar ataques de relleno de credenciales dirigidos a servidores IMAP y sitios web populares en línea.
«La estrategia de monetización de Kimwolf se hizo evidente desde el principio a través de su agresiva venta de valores residenciales», dijo la compañía. «Al ofrecer proxies por tan solo 0,20 centavos por GB o 1,4 mil dólares al mes por ancho de banda ilimitado, obtendría una adopción temprana por parte de varios proveedores de proxy».
«El descubrimiento de cajas de TV preinfectadas y la monetización de estos bots a través de SDK secundarios como Byteconnect indica una relación cada vez más profunda entre los actores de amenazas y los proveedores de proxy comerciales».
Para contrarrestar el riesgo, se recomienda a los proveedores de proxy bloquear las solicitudes a RFC 1918 direcciones, que son rangos de direcciones IP privadas definido para su uso en redes privadas. Se recomienda a las organizaciones que bloqueen los dispositivos que ejecutan shells ADB no autenticados para evitar el acceso no autorizado.
Fuente