El Sección de Jurisprudencia de EE. UU. (DoJ) anunció el jueves la interrupción de la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT) como AISURU, Kimwolf, JackSkid y Mossad como parte de una operación policial autorizada por el tribunal.
En el esfuerzo asimismo las autoridades de Canadá y Alemania apuntaron a los operadores detrás de estas botnets, con una serie de empresas del sector privado, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab ayudando en los esfuerzos de investigación.
“Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo”, dijo el Sección de Jurisprudencia. “Algunos de estos ataques midieron aproximadamente 30 Terabits por segundo, que fueron ataques sin precedentes”.
En un mensaje del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. En torno a finales del año pasado, asimismo se estima que la botnet participó en ataques DDoS hipervolumétricos que tenían un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).
El periodista de seguridad independiente Brian Krebs asimismo rastreó al administrador de Kimwolf hasta Jacob Butler (apodo Dort), de 23 abriles, de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la personalidad de Dort desde 2021 y afirmó que cualquiera se está haciendo suceder por él posteriormente de comprometer su antigua cuenta.
Butler asimismo dijo que “la longevo parte del tiempo se queda en casa y ayuda a su mamá en las tareas del hogar porque lucha contra el autismo y la interacción social”. Según Krebs, el otro principal sospechoso es un novicio de 15 abriles que reside en Alemania. No se han anunciado valentía.
La botnet ha reclutado a más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android de otra marca comprometidos. En total, se estima que las cuatro botnets han infectado nulo menos que 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o enrutadores Wi-Fi, de los cuales cientos de miles se encuentran en EE.UU.
“Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar dispositivos que tradicionalmente están ‘protegidos’ del resto de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets”, dijo el Sección de Jurisprudencia. “Los operadores utilizaron luego un maniquí de ‘cibercrimen como servicio’ para traicionar el paso a los dispositivos infectados a otros ciberdelincuentes”.
Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales alegan que las cuatro variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS.
- AISURU – >200.000 comandos de ataque DDoS
- Kimwolf: >25.000 comandos de ataque DDoS
- JackSkid: >90.000 comandos de ataque DDoS
- Mossad: >1.000 comandos de ataque DDoS
“Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en rastreo de dispositivos vulnerables, Kimwolf explotó un nuevo vector de ataque: las redes proxy residenciales”, dijo Tom Scholl, vicepresidente/ingeniero distinguido de AWS, en una publicación compartida en LinkedIn.
“Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, incluidas cajas de TV y otros dispositivos IoT, la botnet obtuvo paso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos”.
Lumen Black Lotus Labs, en un comunicado compartido con The Hacker News, dijo que ha enrutado incapaz casi 1.000 de los servidores C2 utilizados por AISURU y luego por Kimwolf. Según los datos recopilados por la empresa de ciberseguridad, JackSkid tuvo un promedio de más de 150.000 víctimas diarias en las dos primeras semanas de marzo de 2026, llegando a 250.000 el 8 de marzo. El Mossad tuvo un promedio de más de 100.000 víctimas diarias durante el mismo período.
“El problema es que hay tantos dispositivos que son vulnerables que sucedieron dos cosas: primero, Kimwolf demostró ser increíblemente resistente”, dijo Ryan English, investigador de seguridad en Black Lotus Labs de Lumen. “El segundo problema fue que múltiples botnets nuevos comenzaron a competir la técnica de utilizar la vulnerabilidad para crecer mucho y muy rápido”.
Akamai dijo que las botnets hipervolumétricas generaron ataques que superaban los 30 Tbps, 14 mil millones de paquetes por segundo y 300 Mrps, y agregó que los ciberdelincuentes aprovecharon estas botnets para exhalar cientos de miles de ataques y exigir pagos de perjuicio a las víctimas en algunos casos.
“Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso cansar los servicios de mitigación basados en la abundancia de entrada capacidad”, dijo la compañía de infraestructura web.
