Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap esto se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para expedir tráfico solapado.
El malware, detectado por primera vez en estado salvaje en agosto de 2025, se ha expandido a más de 14.000 dispositivos infectados, con más del 60% de las víctimas ubicadas en los EE. UU., según el equipo de Black Lotus Labs en Lumen. Se ha detectado un número beocio de infecciones en Taiwán, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y España.
“KadNap emplea una lectura personalizada del protocolo Kademlia Distributed Hash Table (DHT), que se utiliza para ocultar la dirección IP de su infraestructura internamente de un sistema peer-to-peer para escamotear el monitoreo de red tradicional”, dijo la compañía de ciberseguridad en un documentación compartido con The Hacker News.
Los nodos comprometidos en la red aprovechan el protocolo DHT para delimitar y conectarse con un servidor de comando y control (C2), haciéndolo resistente a los esfuerzos de detección e interrupción.
Una vez que los dispositivos se ven comprometidos con éxito, son comercializados por un servicio proxy llamado Doppelgänger (“doppelganger(.)shop”), que se considera un cambio de marca de Faceless, otro servicio proxy asociado con el malware TheMoon. Doppelgänger, según su sitio web, afirma ofrecer representantes residentes en más de 50 países que brindan “100% de anonimato”. Se dice que el servicio se lanzó en mayo/junio de 2025.
A pesar del enfoque en los enrutadores Asus, se descubrió que los operadores de KadNap implementan el malware contra un conjunto variado de dispositivos de red perimetrales.
El sujeto central del ataque es un script de shell (“aic.sh”) que se descarga del servidor C2 (“212.104.141(.)140”), que es responsable de iniciar el proceso de quinta de la víctima a la red P2P. El archivo crea un trabajo cron para recuperar el script de shell del servidor cada 55 minutos, cambiarle el nombre a “.asusrouter” y ejecutarlo.
Una vez que se establece la persistencia, el script extrae un archivo ELF solapado, le cambia el nombre a “kad” y lo ejecuta. Esto, a su vez, conduce al despliegue de KadNap. El malware es capaz de apuntar a dispositivos que ejecutan procesadores ARM y MIPS.
KadNap igualmente está diseñado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora presente y almacenarla adjunto con el tiempo de actividad del host. Esta información sirve como almohadilla para crear un hash que se utiliza para delimitar a otros pares en la red descentralizada para admitir comandos o descargar archivos adicionales.
Los archivos, fwr.sh y /tmp/.sose, contienen funciones para cerrar el puerto 22, el puerto TCP estereotipado para Secure Shell (SSH), en el dispositivo infectado y extraer una relación de combinaciones de dirección IP:puerto C2 para conectarse.
“En recapitulación, el uso reformador del protocolo DHT permite al malware establecer canales de comunicación robustos que son difíciles de interrumpir, ocultándose en el ruido del tráfico oficial entre pares”, dijo Lumen.
Un estudio más detallado ha determinado que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura se está categorizando según el tipo y maniquí de dispositivo.
El equipo de Black Lotus Labs le dijo a The Hacker News que los robots de Doppelgänger están siendo abusados por actores de amenazas en la naturaleza. “Ha habido un problema ya que estos Asus (y otros dispositivos) a veces igualmente están coinfectados con otro malware: es complicado proponer quién es exactamente responsable de una actividad maliciosa específica”, dijo la compañía.
Se recomienda a los usuarios que ejecutan enrutadores SOHO que mantengan sus dispositivos actualizados, los reinicien periódicamente, cambien las contraseñas predeterminadas, protejan las interfaces de suministro y reemplacen los modelos que están al final de su vida útil y ya no son compatibles.
“La botnet KadNap se destaca entre otras que admiten servidores proxy anónimos en el uso de una red peer-to-peer para el control descentralizado”, concluyó Lumen. “Su intención es clara: evitar la detección y dificultar la protección de los defensores”.
Surge una nueva amenaza para Linux ClipXDaemon
La divulgación se produce cuando Cyble detalló una nueva amenaza para Linux denominada ClipXDaemon que está diseñada para atacar a los usuarios de criptomonedas interceptando y alterando direcciones de billetera copiadas. El malware clipper, entregado a través del ámbito de post-explotación de Linux llamado ShadowHS, ha sido descrito como un secuestrador autónomo de portapapeles de criptomonedas dirigido a entornos Linux X11.
Organizado completamente en la memoria, el malware emplea técnicas sigilosas, como el enmascaramiento de procesos y la evitación de sesiones de Wayland, mientras simultáneamente monitorea el portapapeles cada 200 milisegundos y sustituye las direcciones de criptomonedas con billeteras controladas por el atacante. Es capaz de apuntar a carteras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.
La intrepidez de evitar la ejecución en sesiones de Wayland es deliberada, ya que la cimentación de seguridad del protocolo del servidor de visualización coloca controles adicionales, como requerir interacción explícita del heredero, ayer de que las aplicaciones puedan consentir al contenido del portapapeles. Al deshabilitarse en tales escenarios, el malware tiene como objetivo eliminar el ruido y evitar fallas en el tiempo de ejecución.
“ClipXDaemon difiere fundamentalmente del malware tradicional de Linux. No contiene deducción de comando y control (C2), no realiza balizas y no requiere tareas remotas”, dijo la compañía. “En cambio, monetiza a las víctimas directamente secuestrando direcciones de billeteras de criptomonedas copiadas en sesiones X11 y reemplazándolas en tiempo auténtico con direcciones controladas por el atacante”.
