(https://i.imgur.com/5VSHTVj.jpeg)
La botnet Kimwolf se ha consolidado como una de las amenazas más sofisticadas y masivas del ecosistema Android, tras infectar a más de dos millones de dispositivos mediante técnicas avanzadas de tunelización a través de redes proxy residenciales. Así lo reveló la firma de inteligencia de amenazas Synthient, que ha seguido de cerca la evolución de esta infraestructura maliciosa y sus múltiples vectores de monetización.
Según el análisis publicado por la compañía, los actores detrás de Kimwolf no solo controlan una extensa red de dispositivos comprometidos, sino que monetizan activamente la botnet mediante la venta de ancho de banda proxy residencial, la instalación forzada de aplicaciones y la oferta de capacidades de ataque DDoS como servicio.
Origen y relación con la botnet AISURUKimwolf fue documentada públicamente por primera vez por QiAnXin XLab, que identificó vínculos técnicos y operativos con otra botnet conocida como AISURU. De acuerdo con los investigadores, Kimwolf estaría activa al menos desde agosto de 2025 y se considera una variante de AISURU adaptada específicamente al ecosistema Android.
Cada vez existen más evidencias que apuntan a que Kimwolf fue responsable directa o indirectamente de una serie de ataques DDoS de volumen récord observados a finales del año pasado, lo que confirma su papel como una infraestructura clave dentro del cibercrimen orientado a la disrupción de servicios.
Cómo funciona Kimwolf: proxy, DDoS y tráfico maliciosoEl malware transforma los dispositivos Android infectados en nodos intermediarios capaces de retransmitir tráfico malicioso, permitiendo tanto el ocultamiento del origen real de los ataques como la orquestación de campañas DDoS a gran escala.
Synthient estima que la botnet observa alrededor de 12 millones de direcciones IP únicas por semana, lo que da una idea de su alcance y rotación. La mayor concentración de infecciones se ha identificado en Vietnam, Brasil, India y Arabia Saudí, regiones donde el uso de dispositivos Android económicos y decodificadores basados en Android es particularmente elevado.
ADB expuesto: el vector de infección principalUno de los aspectos más críticos del caso Kimwolf es su método de propagación. Los ataques se dirigen principalmente a dispositivos Android que tienen expuesto el servicio Android Debug Bridge (ADB), un mecanismo diseñado para depuración que no debería estar accesible desde Internet.
Synthient descubrió que al menos el 67% de los dispositivos comprometidos no estaban autenticados y tenían ADB habilitado por defecto, lo que permitió a los atacantes instalar el malware de forma remota sin interacción del usuario.
Para identificar estos dispositivos, los operadores de Kimwolf utilizan una infraestructura de escaneo que se apoya en proxies residenciales, dificultando la atribución y el bloqueo del tráfico malicioso.
Dispositivos preinfectados y SDKs proxy integradosUno de los hallazgos más preocupantes es la sospecha de que muchos dispositivos llegan preinfectados desde fábrica. Los investigadores creen que ciertos fabricantes o intermediarios habrían integrado kits de desarrollo de software (SDK) de proveedores de proxy residencial, lo que permite inscribir subrepticiamente los dispositivos en la botnet tras su conexión a Internet.
Entre los equipos más afectados se encuentran:
- Televisores inteligentes Android no oficiales
- Decodificadores (set-top boxes) basados en Android
- Dispositivos IoT con versiones personalizadas del sistema operativo
Estos dispositivos suelen carecer de actualizaciones de seguridad y controles de configuración, lo que los convierte en objetivos ideales.
Uso de proxies residenciales y el caso IPIDEATan recientemente como en diciembre de 2025, las infecciones de Kimwolf aprovecharon direcciones IP proxy ofrecidas por IPIDEA, un proveedor con sede en China que se describe a sí mismo como el "principal proveedor mundial de proxies IP".
IPIDEA afirma gestionar:
- Más de 6,1 millones de direcciones IP actualizadas diariamente
- Aproximadamente 69.000 nuevas IPs al día
Tras la divulgación del problema, IPIDEA implementó un parche de seguridad el 27 de diciembre, bloqueando el acceso a direcciones de red local y puertos sensibles, una medida clave para frenar el abuso de su infraestructura.
El modus operandi de Kimwolf consiste en aprovechar estas redes proxy comerciales, tunelizar el tráfico a través de ellas y luego acceder a las redes locales de los sistemas que ejecutan el software proxy, facilitando la instalación y control del malware.
Infraestructura técnica y comunicación C2La carga útil principal de Kimwolf escucha en el puerto 40860 y se comunica con su servidor de comando y control (C2) ubicado en 85.234.91[.]247:1337, desde donde recibe instrucciones adicionales.
"La magnitud de esta vulnerabilidad fue sin precedentes, exponiendo millones de dispositivos a ataques", señaló Synthient.
Monetización mediante Byteconnect y ataques secundariosAdemás del control directo, Kimwolf infecta los dispositivos con el SDK de monetización de ancho de banda Plainproxies Byteconnect, lo que refuerza la hipótesis de una estrategia de monetización múltiple y bien organizada.
Este SDK utiliza 119 servidores relé, que reciben tareas proxy desde un servidor C2 y las ejecutan a través de los dispositivos comprometidos, vendiendo su conectividad como proxy residencial comercial.
Synthient también detectó infraestructura asociada a ataques de relleno de credenciales, dirigidos tanto a servidores IMAP como a sitios web populares, ampliando el impacto potencial de la botnet.
Un ecosistema peligroso entre botnets y proveedores proxySegún los investigadores, la agresiva venta de proxies residenciales por parte de Kimwolf —con precios tan bajos como 0,20 dólares por GB o 1.400 dólares mensuales por ancho de banda ilimitado— facilitó su rápida adopción por otros actores.
Citar"El descubrimiento de decodificadores de TV preinfectados y la monetización mediante SDKs secundarios como Byteconnect demuestra una relación cada vez más estrecha entre actores maliciosos y proveedores comerciales de proxies", advirtió Synthient.
Recomendaciones de mitigaciónPara reducir el riesgo asociado a Kimwolf y amenazas similares, los expertos recomiendan:
- Bloquear solicitudes hacia direcciones RFC 1918 desde infraestructuras proxy
- Deshabilitar o restringir ADB en dispositivos Android expuestos
- Bloquear sistemas que ejecuten shells ADB no autenticados
- Auditar dispositivos IoT y Android embebidos en redes corporativas
Fuente: https://thehackernews.com/