21 de noviembre de 2025

🎮💀 Tsundere: la botnet que usa juegos pirata y la blockchain de Ethereum para controlar miles de PCs

🎮💀 Tsundere: la botnet que usa juegos pirata y la blockchain de Ethereum para controlar miles de PCs

¿Qué pasa cuando un “instalador de Valorant” no instala el juego… sino que convierte tu PC en parte de una botnet controlada desde Ethereum?
Bienvenido a Tsundere, una de las campañas de malware más curiosas y peligrosas que hemos visto en Windows en lo que va del año.

🧩 ¿Qué es Tsundere y por qué preocupa tanto en la industria?

Tsundere es una botnet activa desde mediados de 2025 que se está expandiendo rápidamente. A diferencia de otras botnets, no depende de servidores ocultos o dominios temporales difíciles de rastrear… sino de contratos inteligentes en Ethereum para administrar su infraestructura.

Sí, leíste bien:
el C2 de esta botnet vive en la blockchain.

Esto permite que los operadores:

  • Cambien sus servidores de comando cuando quieran.

  • Eviten bloqueos tradicionales.

  • Mantengan operaciones aun si se cierran servidores previos.

  • Aprovechen la resiliencia y disponibilidad propia de Ethereum.

Con solo actualizar el smart contract, todos los bots reciben la nueva dirección C2.
Ingenioso… y preocupante.

🎮 El gancho: instaladores falsos de juegos populares

Los atacantes están usando señuelos irresistibles para gamers:

  • “Instalador de Valorant”

  • “Setup de CS2”

  • “Rainbow Six Siege X (R6x)”

  • Mods, hacks, cracks y “optimizadores” falsos

Todos distribuidos como:

  • MSI maliciosos

  • Scripts PowerShell que montan un mini entorno Node.js para correr JS malicioso

Perfectos para engañar a jugadores que buscan versiones “gratuitas”, “premium” o “modificadas”.

⚙️ ¿Cómo funciona Tsundere por dentro?

1️⃣ Smart contracts en Ethereum para C2

El contrato inteligente almacena la dirección del servidor C2.
Cada vez que la botnet quiere rotar infraestructura:

  1. Hacen una transacción.

  2. Actualizan el contrato.

  3. Todos los bots lo leen.

  4. La botnet sigue operando.

Censura: 0
Resiliencia: 100

2️⃣ Comunicación por WebSocket cifrado

Los bots hablan con su C2 a través de WebSockets protegidos, lo que complica la detección por tráfico sospechoso.

3️⃣ Persistencia agresiva

La botnet utiliza:

  • pm2, un gestor de procesos de Node.js, para reiniciar el malware automáticamente.

  • Entradas en el registro de Windows para ejecutarse al inicio de sesión.

4️⃣ Plataforma completa para criminales

El operador de Tsundere ofrece:

  • Construcción de malware personalizado

  • Gestión de bots

  • Conversión de equipos en proxies para actividades maliciosas

  • Mercado para comprar/vender bots y módulos

Un ecosistema criminal profesional.

5️⃣ Presunto actor ruso

Los analistas identificaron:

  • Operador ruso detrás de la campaña

  • Conexión con el malware 123 Stealer

  • Restricción explícita: no infectar Rusia ni países de la Comunidad de Estados Independientes

Patrón típico en grupos de origen ruso.

📌 ¿Cómo se infectan las víctimas?

Principalmente mediante:

  • Descargas de juegos o cracks falsos

  • Archivos MSI disfrazados

  • Scripts PowerShell recibidos en phishing

  • Integración con otras campañas de malware

🛡️ Recomendaciones prácticas para TI, soporte y usuarios técnicos

✔️ Verificar siempre la firma digital de instaladores MSI

Si no tiene firma → sospecha absoluta.
Si tiene firma inválida → delete inmediato.

✔️ Bloquear ejecución de PowerShell desconocido

Especialmente en máquinas de usuarios con poco control de seguridad.

✔️ Aplicar controles de aplicaciones (AppLocker / Smart App Control)

Restringe la ejecución de binarios no aprobados.

✔️ Monitorear procesos persistentes como pm2

Un pm2 ejecutándose en un entorno Windows es un “¿qué demonios?” automático.

✔️ Endpoints con EDR actualizado

EDR modernos ya detectan algunas variantes de Tsundere.

✔️ Evitar por completo instaladores de juegos fuera de tiendas oficiales

El señuelo gamer es lo que está creciendo más rápido.

⚠️ Conclusión

Tsundere combina tres elementos que deberían preocupar a cualquier profesional de TI:

  1. Ingeniería social enfocada en gamers, un público enorme y propenso a instalar software no oficial.

  2. Infraestructura basada en blockchain, prácticamente imposible de derribar por métodos tradicionales.

  3. Persistencia avanzada y modularidad, que la convierten en una botnet flexible y rentable.

Es un ejemplo claro de hacia dónde se dirige el malware moderno:
menos servidores vulnerables, más infraestructura descentralizada, más automatización y un ecosistema criminal completo detrás.

Fuente: https://cybersecuritynews.com/tsundere-botnet-abusing-popular-node-js-and-cryptocurrency-packages/
← Anterior 🦠 Sturnus: el troyano que lee tus chats ...
Siguiente → 🥖🔥 El caso Bimbo: cómo una de las empres...
Escrito por:
Luis Carreón
📰 Otras noticias del día
🔥 El malware que se hace pasar por tu herramienta favorita: la amenaza silenciosa de TamperedChef
🦠 Sturnus: el troyano que lee tus chats cifrados y toma control total de tu Android
🥖🔥 El caso Bimbo: cómo una de las empresas más grandes del mundo cayó en una cadena de ciberataques —y qué lecciones urgentes deja para TI
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio