19 de diciembre de 2025

Botnet Kimwolf compromete 1.8 millones de dispositivos Android TV en una de las campañas más grandes del año

Botnet Kimwolf compromete 1.8 millones de dispositivos Android TV en una de las campañas más grandes del año

La botnet Kimwolf ha logrado comprometer alrededor de 1.8 millones de dispositivos Android, principalmente Smart TVs y TV Box, distribuidos en más de 220 países, posicionándose como una de las campañas de malware IoT más extensas y agresivas detectadas recientemente.

El caso vuelve a poner en el foco de riesgo a los dispositivos Android embebidos —frecuentemente ignorados en estrategias de seguridad— y confirma que los televisores inteligentes ya forman parte activa del ecosistema de amenazas globales.

Análisis técnico de la amenaza

Investigadores de QiAnXin XLab detectaron Kimwolf el 24 de octubre de 2025, tras analizar una muestra de malware Android compilada con Android NDK y que incorpora la biblioteca wolfSSL, un indicio temprano de comunicaciones cifradas a nivel avanzado.

El malware implementa un conjunto amplio de capacidades ofensivas, entre ellas:

  • Ataques DDoS mediante 13 métodos distintos usando UDP, TCP e ICMP

  • Reenvío de tráfico proxy, que representa cerca del 96% de los comandos observados

  • Shell inverso para control remoto

  • Manipulación de archivos y ejecución de comandos arbitrarios

Las comunicaciones con los servidores de comando y control (C2) están protegidas con TLS y validación mediante ECDSA, elevando el nivel de dificultad para su detección y análisis en entornos tradicionales.

Uno de los dominios C2 identificados, 14emeliaterracewestroxburyma02132[.]su, llegó incluso a superar temporalmente a Google en consultas DNS dentro de Cloudflare, un indicador claro de la magnitud operativa de la botnet.

Escala operativa y actividad observada

Entre el 19 y el 22 de noviembre de 2025, Kimwolf lanzó aproximadamente 1.7 mil millones de comandos DDoS dirigidos a direcciones IP de todo el mundo. Los principales destinos incluyeron Estados Unidos, China, Francia, Alemania y Canadá.

Aunque muchos de estos ataques no generaron impactos significativos, los analistas consideran que gran parte de la actividad tuvo un propósito demostrativo: validar capacidad, latencia y control de la red de bots.

Tras el sinkhole de uno de los dominios C2 en diciembre, se registraron:

  • 2.7 millones de direcciones IP únicas conectándose al sinkhole

  • Un pico de 1.83 millones de IPs en un solo día (4 de diciembre)

A pesar del uso de IPs dinámicas, estos datos confirman al menos 1.8 millones de dispositivos efectivamente infectados.

Investigadores también señalan posibles vínculos con la botnet AISURU, además del uso de dominios ENS como técnica de ocultamiento de infraestructura C2, combinando extracción de direcciones IPv6 y operaciones XOR para evadir análisis.

Dispositivos y vectores de infección

Las infecciones se concentran principalmente en países como Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas, afectando dispositivos ampliamente utilizados en hogares y pequeñas oficinas, entre ellos:

  • TV BOX genéricos

  • SuperBOX

  • X96Q

  • Smart TVs Android de bajo costo

Los vectores de infección más comunes incluyen:

  • Firmware desactualizado o abandonado por el fabricante

  • APKs troyanizadas instaladas fuera de tiendas oficiales

  • Proveedores y marketplaces no confiables

  • Contraseñas débiles o configuraciones por defecto

La combinación de bajo mantenimiento, poca visibilidad en redes domésticas y ausencia de controles de seguridad convierte a estos dispositivos en objetivos ideales para botnets modernas.

Implicaciones para equipos de TI y ciberseguridad

Kimwolf confirma una tendencia clara: las botnets IoT han evolucionado más allá del DDoS clásico. En este caso, la monetización mediante servicios proxy parece ser el principal objetivo, un modelo más rentable y resiliente frente a bloqueos que los ataques de denegación de servicio tradicionales.

El comportamiento recuerda a botnets históricas como Mirai o BadBox, pero con un nivel de sofisticación superior en cifrado, evasión y control distribuido.

Para entornos corporativos y residenciales avanzados, los expertos recomiendan:

  • Mantener firmware actualizado en dispositivos Android TV

  • Evitar instalación de APKs fuera de fuentes confiables

  • Implementar segmentación de red para dispositivos IoT

  • Monitorear tráfico saliente anómalo desde redes internas

  • Auditar dispositivos Android embebidos como parte del inventario de TI

La proliferación de este tipo de botnets deja claro que cualquier dispositivo conectado, por trivial que parezca, debe ser tratado como un endpoint potencialmente hostil.

Fuente: https://cyberinsider.com/kimwolf-botnet-infected-1-8-million-android-tv-boxes-worldwide/
Siguiente → CISA incorpora vulnerabilidad crítica en...
Escrito por:
Luis Carreón
📰 Otras noticias del día
CISA incorpora vulnerabilidad crítica en ASUS Live Update a su catálogo KEV por explotación activa
Kimsuky despliega malware Android mediante phishing con códigos QR que imitan apps de paquetería
El “AI sprawl” obliga a repensar la seguridad SaaS ante la adopción masiva de copilotos de IA
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio