Una nueva botnet distribuida de denegación de servicio (DDoS) conocida como kimlobo ha reclutado un ejército masivo de no menos de 1,8 millones de dispositivos infectados que incluyen televisores, descodificadores y tabletas con Android, y puede estar asociado con otra botnet conocida como AISURUsegún los hallazgos de QiAnXin XLab.
«Kimwolf es una botnet compilada utilizando el NDK [Native Development Kit],» la empresa dicho en un informe publicado hoy. «Además de las capacidades típicas de ataque DDoS, integra funciones de reenvío de proxy, shell inverso y administración de archivos».
Se estima que la botnet de hiperescala emitió 1.700 millones de comandos de ataque DDoS en un período de tres días entre el 19 y el 22 de noviembre de 2025, aproximadamente al mismo tiempo que uno de sus dominios de comando y control (C2): 14emeliaterracewestroxburyma02132[.]su – vino primero en la lista de los 100 dominios principales de Cloudflare, superando incluso brevemente a Google.
Los principales objetivos de infección de Kimwolf son los decodificadores de TV instalados en entornos de redes residenciales. Algunos de los modelos de dispositivos afectados incluyen TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. Las infecciones están dispersas a nivel mundial, con Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas registrando concentraciones más altas. Dicho esto, actualmente no está claro el medio exacto por el que se propaga el malware a estos dispositivos.
XLab dijo que su investigación sobre la botnet comenzó después de recibir un artefacto «versión 4» de Kimwolf de un socio comunitario confiable el 24 de octubre de 2025. Desde entonces, el mes pasado se descubrieron ocho muestras adicionales.
«Observamos que los dominios C2 de Kimwolf han sido eliminados con éxito por partes desconocidas al menos tres veces. [in December]lo que lo obligó a actualizar sus tácticas y recurrir al uso de ENS (Ethereum Name Service) para reforzar su infraestructura, demostrando su poderosa capacidad evolutiva», dijeron los investigadores de XLab.
Eso no es todo. A principios de este mes, XLab logró tomar con éxito el control de uno de los dominios C2, lo que le permitió evaluar la escala de la botnet.
Un aspecto interesante de Kimwolf es que está vinculado a la infame botnet AISURU, que ha estado detrás de algunos de los ataques DDoS sin precedentes durante el año pasado. Se sospecha que los atacantes reutilizaron el código de AISURU en las primeras etapas, antes de optar por desarrollar la botnet Kimwolf para evadir la detección.
XLab dijo que es posible que algunos de estos ataques no hayan venido solo de AISURU, y que Kimwolf podría estar participando o incluso liderando los esfuerzos.
«Estas dos principales botnets se propagaron a través de los mismos scripts de infección entre septiembre y noviembre, coexistiendo en el mismo lote de dispositivos», dijo la compañía. «En realidad pertenecen al mismo grupo de hackers».
Esta evaluación se basa en similitudes en paquetes APK subidos a la plataforma VirusTotal, en algunos casos incluso usando el mismo certificado de firma de código («John Dinglebert Dinglenut VIII VanSack Smith»). El 8 de diciembre de 2025 llegó más evidencia definitiva con el descubrimiento de un servidor de descarga activo («93.95.112[.]59») que contenía un script que hacía referencia a APK tanto para Kimwolf como para AISURU.
El malware en sí es bastante sencillo. Una vez iniciado, garantiza que solo se ejecute una instancia del proceso en el dispositivo infectado y luego procede a descifrar el dominio C2 integrado, utiliza DNS sobre TLS para obtener la dirección IP C2 y se conecta a él para recibir y ejecutar comandos.
Las versiones recientes del malware botnet detectado el 12 de diciembre de 2025 han introducido una técnica conocida como ÉterOcultar que hace uso de un dominio ENS («pawsatyou[.]eth») para obtener la IP C2 real del contrato inteligente asociado (0xde569B825877c47fE637913eCE5216C644dE081F) en un esfuerzo por hacer que su infraestructura sea más resistente a los esfuerzos de eliminación.
Específicamente, esto implica extraer una dirección IPv6 del campo «lol» de la transacciónluego toma los últimos cuatro bytes de la dirección y realiza una operación XOR con la clave «0x93141715» para obtener la dirección IP real.
Además de cifrar datos confidenciales relacionados con servidores C2 y solucionadores de DNS, Kimwolf utiliza cifrado TLS para que las comunicaciones de red reciban comandos DDoS. En total, el malware admite 13 métodos de ataque DDoS a través de UDP, TCP e ICMP. Los objetivos del ataque, según XLab, se encuentran en EE. UU., China, Francia, Alemania y Canadá.
Un análisis más detallado ha determinado que más del 96% de los comandos se relacionan con el uso de nodos de bot para proporcionar servicios de proxy. Esto indica los intentos de los atacantes de explotar el ancho de banda de los dispositivos comprometidos y maximizar sus ganancias. Como parte del esfuerzo, se implementa un módulo Command Client basado en Rust para formar una red proxy.
También se entrega a los nodos un kit de desarrollo de software (SDK) ByteConnect, una solución de monetización que permite a los desarrolladores de aplicaciones y propietarios de dispositivos IoT monetizar su tráfico.
«Las botnets gigantes se originaron con Mirai en 2016, con objetivos de infección concentrados principalmente en dispositivos de IoT como cámaras y enrutadores de banda ancha domésticos», dijo XLab. «Sin embargo, en los últimos años, se ha revelado información sobre múltiples botnets gigantes de nivel de millones como Badbox, Bigpanzi, Vo1d y Kimwolf, lo que indica que algunos atacantes han comenzado a centrar su atención en varios televisores inteligentes y decodificadores».
Fuente