Los investigadores de ciberseguridad han despabilado sobre una botnet en expansión activa denominada tsundere eso está dirigido a usuarios de Windows.
Activa desde mediados de 2025, la amenaza está diseñada para ejecutar código JavaScript despótico recuperado de un servidor de comando y control (C2), dijo el investigador de Kaspersky Lisandro Ubiedo en un investigación publicado hoy.
Actualmente no hay detalles sobre cómo se propaga el malware botnet; sin requisa, en al menos un caso, se dice que los actores de amenazas detrás de la operación aprovecharon una utensilio legítima de distribución y monitoreo remoto (RMM) como conducto para descargar un archivo de instalación MSI desde un sitio comprometido.
Los nombres dados a los artefactos de malware (Valorant, r6x (Rainbow Six Siege X) y cs2 (Counter-Strike 2)) igualmente sugieren que el implante probablemente se esté difundiendo utilizando señuelos para juegos. Es posible que el objetivo sean usuarios que busquen versiones pirateadas de estos juegos.
Independientemente del método utilizado, el instalador MSI mentiroso está diseñado para instalar Node.js e iniciar un script de carga que es responsable de descifrar y ejecutar la carga útil principal relacionada con la botnet. Todavía prepara el entorno descargando tres bibliotecas legítimas, a enterarse, ws, ethers y pm2, mediante el comando “npm install”.
“El paquete pm2 se instala para asegurar que el bot Tsundere permanezca activo y se utilice para iniciar el bot”, explicó Ubiedo. “Por otra parte, pm2 ayuda a ganar persistencia en el sistema escribiendo en el registro y configurándose para reiniciar el proceso al iniciar sesión”.
El investigación de Kaspersky del panel C2 ha revelado que el malware igualmente se propaga en forma de script de PowerShell, que realiza una secuencia similar de acciones al implementar Node.js en el host comprometido y descargar ws y ethers como dependencias.
Si aceptablemente el infectador de PowerShell no utiliza pm2, lleva a extremo las mismas acciones observadas en el instalador de MSI al crear un valía de esencia de registro que garantiza que el bot se ejecute en cada inicio de sesión generando una nueva instancia de sí mismo.
La botnet Tsundere utiliza la esclavitud de bloques Ethereum para obtener detalles del servidor WebSocket C2 (por ejemplo, ws://193.24.123(.)68:3011 o ws://185.28.119(.)179:1234), creando un mecanismo resistente que permite a los atacantes rotar la infraestructura simplemente empleando un anuencia inteligente. El anuencia fue creado el 23 de septiembre de 2024 y ha tenido 26 transacciones hasta la época.
Una vez que se recupera la dirección C2, verifica que sea una URL WebSocket válida y luego procede a establecer una conexión WebSocket con la dirección específica y recibe el código JavaScript enviado por el servidor. Kaspersky dijo que no observó ningún comando de seguimiento del servidor durante el período de observación.
“La capacidad de evaluar código hace que el bot Tsundere sea relativamente simple, pero igualmente proporciona flexibilidad y dinamismo, permitiendo a los administradores de la botnet adaptarlo a una amplia variedad de acciones”, dijo Kaspersky.
Las operaciones de botnet se ven facilitadas por un panel de control que permite a los usuarios registrados crear nuevos artefactos usando MSI o PowerShell, mandar funciones administrativas, ver la cantidad de bots en un momento regalado, convertir sus bots en un proxy para enrutar tráfico astuto e incluso explorar y comprar botnets a través de un mercado dedicado.
No se sabe exactamente quién está detrás de Tsundere, pero la presencia del idioma ruso en el código fuente para fines de registro alude a un actor de amenazas que acento ruso. Se evalúa que la actividad comparte superposiciones funcionales con una campaña npm maliciosa documentada por Checkmarx, Phylum y Socket en noviembre de 2024.
Es más, se ha identificado que el mismo servidor aloja el panel C2 asociado con un bandido de información conocido como 123 Stealer, que está acondicionado mediante suscripción por 120 dólares al mes. Fue anunciado por primera vez por un actor de amenazas llamado “koneko” en un foro de la web oscura el 17 de junio de 2025, según el equipo KrakenLabs de Outpost24.
Otra pista que apunta a sus orígenes rusos es que los clientes tienen prohibido utilizar el bandido para apuntar a Rusia y los países de la Comunidad de Estados Independientes (CEI). “La violación de esta regla resultará en el obstrucción inmediato de su cuenta sin explicación”, dijo Koneko en la publicación de ese momento.
“Las infecciones pueden ocurrir a través de archivos MSI y PowerShell, que brindan flexibilidad en términos de disfrazar instaladores, usar phishing como punto de entrada o integrarse con otros mecanismos de ataque, lo que las convierte en una amenaza aún más formidable”, dijo Kaspersky.
