El equipo de Black Lotus Labs en Lumen Technologies dicho enrutó tráfico nulo a más de 550 nodos de comando y control (C2) asociados con la botnet AISURU/Kimwolf desde principios de octubre de 2025.
AISURU y su homólogo de Android, Kimwolf, se han convertido en algunas de las mayores botnets de los últimos tiempos, capaces de dirigir dispositivos esclavizados para que participen en ataques distribuidos de denegación de servicio (DDoS) y retransmitir tráfico malicioso para servicios de proxy residencial.
Detalles sobre Kimwolf surgió el mes pasado cuando QiAnXin XLab publicó un análisis exhaustivo del malware, que convierte los dispositivos comprometidos (en su mayoría dispositivos de transmisión de TV Android no autorizados) en un proxy residencial al entregar un kit de desarrollo de software (SDK) llamado ByteConnect, ya sea directamente o mediante aplicaciones incompletas que vienen preinstaladas en ellos.
El resultado neto es que la botnet se ha expandido a infecta más de 2 millones de dispositivos Android con un servicio Android Debug Bridge (ADB) expuesto mediante un túnel a través de redes proxy residenciales, lo que permite a los actores de amenazas comprometer una amplia gama de cajas de TV.
Un informe posterior de Synthient reveló que los actores de Kimwolf intentaban descargar el ancho de banda del proxy a cambio de dinero en efectivo por adelantado.
Black Lotus Labs dijo que identificó en septiembre de 2025 un grupo de conexiones SSH residenciales que se originan en múltiples direcciones IP canadienses según su análisis del backend C2 para Aisuru en 65.108.5[.]46, con las direcciones IP usando SSH para acceder 194.46.59[.]169, que proxy-sdk.14emeliaterracewestroxburyma02132[.]su.
Vale la pena señalar que el dominio de segundo nivel superó a google en la lista de Cloudflare de los 100 dominios principales en noviembre de 2025, lo que llevó a la empresa de infraestructura web a borrarlo de la lista.
Luego, a principios de octubre de 2025, la empresa de ciberseguridad dijo que había identificado otro dominio C2: greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su – que resolvió al 104.171.170[.]21, una dirección IP que pertenece al proveedor de hosting Resi Rack LLC, con sede en Utah. La empresa se anuncia como un «Proveedor de alojamiento de servidores de juegos premium».
Este vínculo es crucial, como lo señala un informe reciente del periodista de seguridad independiente Brian Krebs. reveló cómo las personas detrás de varios servicios proxy basados en botnets vendían su warez en un servidor de Discord llamado resi[.]a. Esto también incluye a los cofundadores de Resi Rack, de quienes se dice que han participado activamente en la venta de servicios proxy a través de Discord durante casi dos años.
El servidor, que desde entonces desapareció, era propiedad de alguien llamado «d» (evaluado como la abreviatura del identificador «Dort»), y se cree que Snow era el botmaster.
«A principios de octubre, observamos un aumento del 300% en la cantidad de nuevos bots agregados a Kimwolf durante un período de 7 días, que fue el comienzo de un aumento que alcanzó un total de 800.000 bots a mediados de mes», dijo Black Lotus Labs. «Casi todos los bots en este aumento se encontraron listados para la venta en un único servicio de proxy residencial».
Posteriormente, se descubrió que la arquitectura Kimwolf C2 escaneaba PYPROXY y otros servicios en busca de dispositivos vulnerables entre el 20 de octubre de 2025 y el 6 de noviembre de 2025, un comportamiento explicado por la explotación por parte de la botnet de una falla de seguridad en muchos servicios proxy que permitía interactuar con dispositivos en las redes internas de los puntos finales de proxy residenciales y eliminar el malware.
Esto, a su vez, convierte el dispositivo en un nodo proxy residencial, lo que hace que su dirección IP pública (asignada por el proveedor de servicios de Internet) aparezca para alquiler en el sitio de un proveedor de proxy residencial. Los actores de amenazas, como los que están detrás de estas botnets, luego alquilan acceso al nodo infectado y lo utilizan como arma para escanear la red local en busca de dispositivos con el modo ADB habilitado para una mayor propagación.
«Después de una ruta nula exitosa [in October 2025]observamos que el dominio greatfirewallisacensorshiptool se movió a 104.171.170[.]201, otra IP de Resi Rack LLC», señaló Black Lotus Labs. «Cuando este servidor se puso en funcionamiento, vimos un gran pico de tráfico con 176.65.149[.]19:25565, un servidor utilizado para alojar su malware. Esto fue en un ASN común que fue utilizado por la botnet Aisuru al mismo tiempo».
La divulgación se produce en el contexto de un informe de Chawkr que detalla una sofisticada red proxy que contiene 832 enrutadores KeeneticOS comprometidos que operan en ISP rusos, como Net By Net Holding LLC, VladLink y GorodSamara.
«Las huellas digitales SSH consistentes y las configuraciones idénticas en los 832 dispositivos apuntan hacia una explotación masiva automatizada, ya sea aprovechando credenciales robadas, puertas traseras integradas o fallas de seguridad conocidas en el firmware del enrutador», dicho. «Cada enrutador comprometido mantiene acceso HTTP (puerto 80) y SSH (puerto 22)».
Dado que estos enrutadores SOHO comprometidos funcionan como nodos proxy residenciales, brindan a los actores de amenazas la capacidad de realizar actividades maliciosas al mezclarse con el tráfico normal de Internet. Esto ilustra cómo los adversarios están aprovechando cada vez más los dispositivos de consumo como conductos para ataques de varias etapas.
«A diferencia de las IP de los centros de datos o las direcciones de proveedores de alojamiento conocidos, estos puntos finales residenciales operan por debajo del radar de la mayoría de las listas de reputación de proveedores de seguridad y fuentes de inteligencia de amenazas», señaló Chawkr.
«Su clasificación residencial legítima y su reputación de IP limpia permiten que el tráfico malicioso se haga pasar por una actividad ordinaria del consumidor, evadiendo los mecanismos de detección que señalarían inmediatamente las solicitudes que se originan en una infraestructura de alojamiento sospechosa o en servicios proxy conocidos».
Fuente