Una nueva botnet distribuida de denegación de servicio (DDoS) conocida como kimlobo ha reclutado un ejército masivo de no menos de 1,8 millones de dispositivos infectados que incluyen televisores, descodificadores y tabletas con Android, y puede estar asociado con otra botnet conocida como AISURU, según los hallazgos de QiAnXin XLab.
“Kimwolf es una botnet compilada utilizando el NDK (Native Development Kit)”, dijo la compañía en un noticia publicado hoy. “Encima de las capacidades típicas de ataque DDoS, integra funciones de reenvío de proxy, shell inverso y compañía de archivos”.
Se estima que la botnet de hiperescala emitió 1.700 millones de comandos de ataque DDoS en un período de tres días entre el 19 y el 22 de noviembre de 2025, aproximadamente al mismo tiempo que uno de sus dominios de comando y control (C2), 14emeliaterracewestroxburyma02132(.)su, ocupó el primer punto en la índice de los 100 dominios principales de Cloudflare, superando brevemente incluso a Google.
Los principales objetivos de infección de Kimwolf son los decodificadores de TV instalados en entornos de redes residenciales. Algunos de los modelos de dispositivos afectados incluyen TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. Las infecciones están dispersas a nivel mundial, con Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas registrando concentraciones más altas. Dicho esto, actualmente no está claro el medio exacto por el que se propaga el malware a estos dispositivos.
XLab dijo que su investigación sobre la botnet comenzó posteriormente de tomar un artefacto “interpretación 4” de Kimwolf de un socio comunitario confiable el 24 de octubre de 2025. Desde entonces, el mes pasado se descubrieron ocho muestras adicionales.
“Observamos que los dominios C2 de Kimwolf han sido eliminados con éxito por partes desconocidas al menos tres veces (en diciembre), lo que lo obligó a renovar sus tácticas y acogerse al uso de ENS (Ethereum Name Service) para aumentar su infraestructura, lo que demuestra su poderosa capacidad evolutiva”, dijeron los investigadores de XLab.
Eso no es todo. A principios de este mes, XLab logró tomar con éxito el control de uno de los dominios C2, lo que le permitió evaluar la escalera de la botnet.
Un aspecto interesante de Kimwolf es que está vinculado a la infame botnet AISURU, que ha estado detrás de algunos de los ataques DDoS sin precedentes durante el año pasado. Se sospecha que los atacantes reutilizaron el código de AISURU en las primeras etapas, antaño de optar por desarrollar la botnet Kimwolf para eludir la detección.
XLab dijo que es posible que algunos de estos ataques no hayan venido solo de AISURU, y que Kimwolf podría estar participando o incluso liderando los esfuerzos.
“Estas dos principales botnets se propagaron a través de los mismos scripts de infección entre septiembre y noviembre, coexistiendo en el mismo parte de dispositivos”, dijo la compañía. “En verdad pertenecen al mismo clase de hackers”.
Esta evaluación se podio en similitudes en los paquetes APK cargados en la plataforma VirusTotal, que en algunos casos incluso utilizan el mismo certificado de firma de código (“John Dinglebert Dinglenut VIII VanSack Smith”). El 8 de diciembre de 2025 llegó más evidencia definitiva con el descubrimiento de un servidor de descarga activo (“93.95.112(.)59”) que contenía un script que hacía remisión a APK tanto para Kimwolf como para AISURU.
El malware en sí es congruo sencillo. Una vez iniciado, garantiza que solo se ejecute una instancia del proceso en el dispositivo infectado y luego procede a descifrar el dominio C2 integrado, utiliza DNS sobre TLS para obtener la dirección IP C2 y se conecta a él para tomar y ejecutar comandos.
Las versiones recientes del malware botnet detectado el 12 de diciembre de 2025 han introducido una técnica conocida como EtherHiding que utiliza un dominio ENS (“pawsatyou(.)eth”) para obtener la IP C2 efectivo del arreglo inteligente asociado (0xde569B825877c47fE637913eCE5216C644dE081F) en un esfuerzo por hacer que su infraestructura sea más resistente. a los esfuerzos de derribo.
Específicamente, esto implica extraer una dirección IPv6 del campo “lol” de la transacción, luego tomar los últimos cuatro bytes de la dirección y realizar una operación XOR con la secreto “0x93141715” para obtener la dirección IP efectivo.
Encima de abreviar datos confidenciales relacionados con servidores C2 y solucionadores de DNS, Kimwolf utiliza criptográfico TLS para que las comunicaciones de red reciban comandos DDoS. En total, el malware admite 13 métodos de ataque DDoS a través de UDP, TCP e ICMP. Los objetivos del ataque, según XLab, se encuentran en EE. UU., China, Francia, Alemania y Canadá.
Un prospección más detallado ha determinado que más del 96% de los comandos se relacionan con el uso de nodos de bot para proporcionar servicios de proxy. Esto indica los intentos de los atacantes de explotar el encantado de pandilla de los dispositivos comprometidos y maximizar sus ganancias. Como parte del esfuerzo, se implementa un módulo Command Client basado en Rust para formar una red proxy.
Incluso se entrega a los nodos un kit de incremento de software (SDK) ByteConnect, una alternativa de monetización que permite a los desarrolladores de aplicaciones y propietarios de dispositivos IoT monetizar su tráfico.
“Las botnets gigantes se originaron con Mirai en 2016, con objetivos de infección concentrados principalmente en dispositivos de IoT como cámaras y enrutadores de pandilla ancha domésticos”, dijo XLab. “Sin secuestro, en los últimos abriles, se ha revelado información sobre múltiples botnets gigantes de nivel de millones como Badbox, Bigpanzi, Vo1d y Kimwolf, lo que indica que algunos atacantes han comenzado a centrar su atención en varios televisores inteligentes y decodificadores”.
