Elusivo "Tsundere": nueva red de bots oculta sus servidores de control en la blockchain de Ethereu
Pistas conducen a traficantes de datos robados que han convertido la infección de ordenadores domésticos en un negocio cínico y lucrativo
Los programas no deseados, distribuidos como software de juego, volvieron a atraer la atención de especialistas en seguridad. La botnet Tsundere, que apareció el pasado verano, amplía gradualmente su alcance y se orienta a usuarios de Windows, empleando distintas variantes de cargadores y una arquitectura de control inusual.
Según los expertos de Kaspersky Lab, el bot recibe comandos en forma de código JavaScript, que se extrae del servidor de control. El método de distribución aún no se ha establecido; sin embargo, en uno de los episodios los atacantes emplearon una herramienta legítima de administración remota, a través de la cual se entregó al dispositivo un archivo MSI con un script malicioso. Otro indicio señalado por los especialistas son nombres de archivos como "Valorant", "r6x" y "cs2". Todo ello sugiere intentos de atraer específicamente a la audiencia de jugadores, llamando la atención de quienes buscan compilaciones no autorizadas de populares juegos de disparos.
Tras su ejecución, el instalador MSI falso instala Node.js y activa un cargador que descifra el módulo principal de la botnet. Además, el programa obtiene tres bibliotecas legítimas — ws, ethers y pm2 — mediante el comando npm install. El componente pm2 se utiliza para iniciar el proceso y asegurar el autoarranque a través del registro del sistema.
El análisis del panel de control mostró que el sistema malicioso también se propaga mediante scripts de PowerShell, que replican las acciones de la variante MSI, instalan Node.js y descargan dependencias, pero prescinden de pm2, creando una entrada en el registro para mantener la presencia en el sistema.
Llamó la atención, por separado, el método de comunicación con la infraestructura de Tsundere. La botnet extrae direcciones de servidores WebSocket a través de un contrato inteligente en la red Ethereum; esto permite a los organizadores cambiar rápidamente los puntos de control. El contrato se publicó en otoño de 2024 y hasta la fecha contiene varias decenas de transacciones.
Tras obtener la dirección actual, el bot verifica la validez del enlace WebSocket y establece la conexión, esperando código JavaScript. Durante las observaciones no se transmitieron comandos, pero la propia posibilidad de ejecutar código arbitrario hace que el mecanismo sea flexible.
El panel de Tsundere ofrece a los participantes de la operación herramientas para crear nuevas compilaciones maliciosas en formato MSI o PowerShell, visualizar la cantidad de dispositivos infectados activos, configurar funciones de administración y convertir máquinas infectadas en nodos para redirigir el tráfico.
A través de la misma plataforma es posible ver y comprar botnets, lo que indica la comercialización del proyecto. En el código hay líneas de registro en ruso, y la funcionalidad se solapa con publicaciones maliciosas en el ecosistema npm que describieron Checkmarx, Phylum y Socket hace un año.
Con el mismo servidor está vinculado también el panel de control de la herramienta maliciosa 123 Stealer, distribuida bajo suscripción y mencionada por primera vez en un mercado clandestino por un usuario bajo el seudónimo Koneko. Los expertos subrayan que Tsundere puede infiltrarse mediante archivos MSI o PowerShell, y la variedad de vectores de entrega facilita el uso de phishing y otros métodos de intrusión.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla