La red de bots conocida como kimlobo ha infectado más de 2 millones de dispositivos Android mediante túneles a través de redes proxy residenciales, según los hallazgos de Synthient.
“Se observa que los actores esencia involucrados en la botnet Kimwolf monetizan la botnet a través de instalaciones de aplicaciones, venden orgulloso de costado de proxy residencial y venden su funcionalidad DDoS”, dijo la compañía en un examen publicado la semana pasada.
Kimwolf fue documentado públicamente por primera vez por QiAnXin XLab el mes pasado, mientras documentaba sus conexiones con otra botnet conocida como AISURU. Activo desde al menos agosto de 2025, se considera que Kimwolf es una reforma de Android de AISURU. Cada vez hay más pruebas que sugieren que la botnet está en ingenuidad detrás de una serie de ataques DDoS que batieron récords a finales del año pasado.
El malware convierte los sistemas infectados en conductos para retransmitir tráfico desconfiado y orquestar ataques distribuidos de denegación de servicio (DDoS) a escalera. La gran mayoría de las infecciones se concentran en Vietnam, Brasil, India y Arabia Saudita, y Synthient observa aproximadamente 12 millones de direcciones IP únicas por semana.
Se ha descubierto que los ataques que distribuyen la botnet se dirigen principalmente a dispositivos Android que ejecutan un servicio Android Debug Bridge (ADB) expuesto utilizando una infraestructura de escaneo que utiliza servidores proxy residenciales para instalar el malware. No menos del 67% de los dispositivos conectados a la botnet no están autenticados y tienen ADB capacitado de forma predeterminada.
Se sospecha que estos dispositivos vienen preinfectados con kits de avance de software (SDK) de proveedores de proxy para incluirlos subrepticiamente en la botnet. Los principales dispositivos comprometidos incluyen televisores inteligentes y decodificadores no oficiales basados en Android.
En diciembre de 2025, las infecciones de Kimwolf aprovecharon las direcciones IP proxy ofrecidas en locación por IPIDEA, con sede en China, que implementó un parche de seguridad el 27 de diciembre para encerrar el golpe a dispositivos de red específico y varios puertos sensibles. IPIDEA se describe a sí mismo como el “proveedor líder mundial de proxy IP” con más de 6,1 millones de direcciones IP actualizadas diariamente y 69.000 nuevas direcciones IP diarias.
En otras palabras, el modus operandi es usar la red proxy de IPIDEA y otros proveedores de proxy, y luego hacer un túnel a través de las redes locales de los sistemas que ejecutan el software proxy para eliminar el malware. La carga útil principal audición en el puerto 40860 y se conecta al 85.234.91(.)247:1337 para percibir más comandos.
“La escalera de esta vulnerabilidad no tenía precedentes y expuso a millones de dispositivos a ataques”, dijo Synthient.
Por otra parte, los ataques infectan los dispositivos con un servicio de monetización de orgulloso de costado conocido como Plainproxies Byteconnect SDK, lo que indica intentos más amplios de monetización. El SDK utiliza 119 servidores de retransmisión que reciben tareas de proxy desde un servidor de comando y control, que luego son ejecutadas por el dispositivo comprometido.
Synthient dijo que detectó la infraestructura que se utiliza para realizar ataques de relleno de credenciales dirigidos a servidores IMAP y sitios web populares en trayecto.
“La táctica de monetización de Kimwolf se hizo evidente desde el principio a través de su agresiva traspaso de títulos residenciales”, dijo la compañía. “Al ofrecer proxies por tan solo 0,20 centavos por GB o 1,4 mil dólares al mes por orgulloso de costado ilimitado, obtendría una asimilación temprana por parte de varios proveedores de proxy”.
“El descubrimiento de cajas de TV preinfectadas y la monetización de estos bots a través de SDK secundarios como Byteconnect indica una relación cada vez más profunda entre los actores de amenazas y los proveedores de proxy comerciales”.
Para contrarrestar el aventura, se recomienda a los proveedores de proxy encerrar las solicitudes a direcciones RFC 1918, que son rangos de direcciones IP privadas definidos para su uso en redes privadas. Se recomienda a las organizaciones que bloqueen los dispositivos que ejecutan shells ADB no autenticados para evitar el golpe no competente.
