El equipo de Black Lotus Labs en Lumen Technologies dijo que enrutaba el tráfico a más de 550 nodos de comando y control (C2) asociados con la botnet AISURU/Kimwolf desde principios de octubre de 2025.
AISURU y su homólogo de Android, Kimwolf, se han convertido en algunas de las mayores botnets de los últimos tiempos, capaces de dirigir dispositivos esclavizados para que participen en ataques distribuidos de denegación de servicio (DDoS) y retransmitir tráfico taimado para servicios de proxy residenciales.
Los detalles sobre Kimwolf surgieron el mes pasado cuando QiAnXin XLab publicó un exploración completo del malware, que convierte los dispositivos comprometidos (en su mayoría dispositivos de transmisión de TV Android no autorizados) en un proxy residencial al entregar un kit de exposición de software (SDK) llamado ByteConnect, ya sea directamente o a través de aplicaciones incompletas que vienen preinstaladas en ellos.
El resultado neto es que la botnet se ha expandido hasta infectar más de 2 millones de dispositivos Android con un servicio Android Debug Bridge (ADB) expuesto mediante túneles a través de redes proxy residenciales, lo que permite a los actores de amenazas comprometer una amplia gradación de decodificadores de TV.
Un referencia posterior de Synthient reveló que los actores de Kimwolf intentaban descargar el orondo de pandilla del proxy a cambio de pasta en efectivo por avanzado.
Black Lotus Labs dijo que identificó en septiembre de 2025 un montón de conexiones SSH residenciales que se originan en múltiples direcciones IP canadienses según su exploración del backend C2 para Aisuru en 65.108.5(.)46, con las direcciones IP que utilizan SSH para consentir a 194.46.59(.)169, cuyo proxy-sdk.14emeliaterracewestroxburyma02132(.)su.
Vale la pena señalar que el dominio de segundo nivel superó a Google en la índice de los 100 dominios principales de Cloudflare en noviembre de 2025, lo que llevó a la empresa de infraestructura web a eliminarlo de la índice.
Luego, a principios de octubre de 2025, la empresa de ciberseguridad dijo que había identificado otro dominio C2, greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132(.)su, que se resolvió en 104.171.170(.)21, una dirección IP que pertenece al proveedor de alojamiento Resi Rack LLC, con sede en Utah. La empresa se anuncia como un “Proveedor de alojamiento de servidores de juegos premium”.
Este vínculo es crucial, ya que un referencia nuevo del periodista de seguridad independiente Brian Krebs reveló cómo las personas detrás de varios servicios proxy basados en botnets vendían su warez en un servidor de Discord llamado resi(.)to. Esto asimismo incluye a los cofundadores de Resi Rack, de quienes se dice que han participado activamente en la liquidación de servicios proxy a través de Discord durante casi dos primaveras.
El servidor, que desde entonces desapareció, era propiedad de cualquiera llamado “d” (evaluado como la sigla del identificador “Dort”), y se cree que Snow era el botmaster.
“A principios de octubre, observamos un aumento del 300% en la cantidad de nuevos bots agregados a Kimwolf durante un período de 7 días, que fue el aparición de un aumento que alcanzó un total de 800.000 bots a mediados de mes”, dijo Black Lotus Labs. “Casi todos los bots en este aumento se encontraron listados para la liquidación en un único servicio de proxy residencial”.
Seguidamente, se descubrió que la inmueble Kimwolf C2 escaneaba PYPROXY y otros servicios en rebusca de dispositivos vulnerables entre el 20 de octubre de 2025 y el 6 de noviembre de 2025, un comportamiento que se explica por la explotación por parte de la botnet de una error de seguridad en muchos servicios proxy que hacía posible interactuar con dispositivos en las redes internas de los puntos finales de proxy residenciales y eliminar el malware.
Esto, a su vez, convierte el dispositivo en un nodo proxy residencial, lo que hace que su dirección IP pública (asignada por el proveedor de servicios de Internet) aparezca para arrendamiento en el sitio de un proveedor de proxy residencial. Los actores de amenazas, como los que están detrás de estas botnets, luego alquilan acercamiento al nodo infectado y lo utilizan como arsenal para escanear la red recinto en rebusca de dispositivos con el modo ADB apoderado para una anciano propagación.
“Posteriormente de una ruta nula exitosa (en octubre de 2025), observamos que el dominio greatfirewallisacensorshiptool se movía a 104.171.170(.)201, otra IP de Resi Rack LLC”, señaló Black Lotus Labs. “Cuando este servidor se puso en funcionamiento, vimos un gran aumento de tráfico con 176.65.149(.)19:25565, un servidor utilizado para meter su malware. Esto fue en un ASN popular que fue utilizado por la botnet Aisuru al mismo tiempo”.
La divulgación se produce en el contexto de un referencia de Chawkr que detalla una sofisticada red proxy que contiene 832 enrutadores KeeneticOS comprometidos que operan en ISP rusos, como Net By Net Holding LLC, VladLink y GorodSamara.
“Las huellas dactilares SSH consistentes y las configuraciones idénticas en los 832 dispositivos apuntan con destino a una explotación masiva automatizada, ya sea aprovechando credenciales robadas, puertas traseras integradas o fallas de seguridad conocidas en el firmware del enrutador”, dijo. “Cada enrutador comprometido mantiene acercamiento HTTP (puerto 80) y SSH (puerto 22)”.
Cedido que estos enrutadores SOHO comprometidos funcionan como nodos proxy residenciales, brindan a los actores de amenazas la capacidad de realizar actividades maliciosas al mezclarse con el tráfico habitual de Internet. Esto ilustra cómo los adversarios están aprovechando cada vez más los dispositivos de consumo como conductos para ataques de varias etapas.
“A diferencia de las IP de los centros de datos o las direcciones de proveedores de alojamiento conocidos, estos puntos finales residenciales operan por debajo del radar de la mayoría de las listas de reputación de proveedores de seguridad y fuentes de inteligencia de amenazas”, señaló Chawkr.
“Su clasificación residencial legítima y su reputación de IP limpia permiten que el tráfico taimado se haga suceder por una actividad ordinaria del consumidor, evadiendo los mecanismos de detección que señalarían inmediatamente las solicitudes que se originan en una infraestructura de alojamiento sospechosa o en servicios proxy conocidos”.
