6 de enero de 2026

Botnet Kimwolf infecta más de 2 millones de dispositivos Android vía ADB expuesto y redes proxy

Botnet Kimwolf infecta más de 2 millones de dispositivos Android vía ADB expuesto y redes proxy

La botnet Android conocida como Kimwolf ha comprometido a más de 2 millones de dispositivos a nivel global al explotar servicios Android Debug Bridge (ADB) expuestos y redes de proxies residenciales, convirtiéndolos en nodos para ataques DDoS y en infraestructura de venta de ancho de banda, de acuerdo con un análisis reciente de Synthient y QiAnXin XLab.

Infección masiva a través de ADB no protegido

Los atacantes emplean infraestructuras de escaneo apoyadas en proxies residenciales para localizar dispositivos Android con ADB habilitado y sin autenticación. Los equipos más afectados son smart TVs y set-top boxes no oficiales, especialmente en Vietnam, Brasil, India y Arabia Saudita, donde la adopción de hardware Android modificado y sin parches es elevada.

Una vez identificado el objetivo, Kimwolf instala SDKs de monetización de tráfico como Plainproxies y Byteconnect, que permiten redirigir el ancho de banda del dispositivo comprometido hacia actividades maliciosas controladas por terceros.

Escala operativa y monetización

La botnet se mantiene activa desde agosto de 2025 y ha sido vinculada al grupo AISURU. Según los investigadores, Kimwolf ha alcanzado picos de hasta 12 millones de IPs únicas semanales, consolidándose como una de las botnets Android más grandes observadas hasta la fecha.

Entre los eventos más relevantes se registró un ataque DDoS que ejecutó 1.7 mil millones de comandos en apenas tres días durante noviembre, lo que evidencia un alto nivel de automatización y control centralizado.

Además de ataques DDoS, la infraestructura se utiliza para:

  • Credential-stuffing contra servidores IMAP y sitios web.

  • Venta de proxies residenciales a precios extremadamente bajos, cercanos a 0.20 USD por GB, lo que facilita su adopción por otros actores criminales.

Preinfección y rol de proveedores de proxies

Synthient señala que el 67 % de los dispositivos infectados tenían ADB habilitado por defecto, lo que sugiere una posible preinfección en la cadena de suministro. Parte de esta exposición estaría relacionada con proveedores de proxies residenciales como IPIDEA, que habría parcheado accesos no autorizados recién en diciembre de 2025.

Este modelo refuerza la hipótesis de un ecosistema donde fabricantes, resellers y servicios de proxy contribuyen indirectamente a la expansión de botnets a gran escala.

Riesgos estructurales para IoT y Android

Kimwolf pone de relieve la fragilidad del ecosistema IoT y Android en economías emergentes, donde:

  • ADB suele quedar habilitado para soporte o pruebas.

  • No existen mecanismos de actualización regulares.

  • El usuario final carece de visibilidad sobre el estado de seguridad del dispositivo.

Expertos recomiendan:

  • Deshabilitar ADB en dispositivos expuestos a Internet.

  • Monitorear tráfico saliente en busca de patrones de proxying anómalos.

  • Aplicar parches de seguridad y evitar firmware no oficial.

La campaña demuestra cómo el abuso de proxies residenciales y Android mal asegurado se ha convertido en un vector crítico para el cibercrimen industrializado.

Fuente: https://blog.xlab.qianxin.com/kimwolf-botnet-en/
← Anterior Hackers alineados con Rusia abusan de Vi...
Siguiente → Nuevo malware VVS Stealer apunta a cuent...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Hackers alineados con Rusia abusan de Viber para atacar a militares y funcionarios ucranianos
Nuevo malware VVS Stealer apunta a cuentas de Discord mediante código Python ofuscado
Vulnerabilidad crítica sin parche en el firmware de TOTOLINK EX200 permite control total del dispositivo
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio