Más popular que Google: dominio de un botnet superó al gigante mundial en el ranking de Cloudflare antes de ser bloqueado
Millones de usuarios ni siquiera sospechaban a quién obedecían sus dispositivos
Desde el otoño del año pasado el equipo Black Lotus Labs de Lumen Technologies bloqueó más de 550 servidores de mando relacionados con las botnets AISURU y Kimwolf. Estas redes maliciosas siguen siendo de las más grandes en su categoría, controlando dispositivos infectados para realizar ataques DDoS y enrutar tráfico mediante servicios de proxy residenciales.
Los especialistas de QiAnXin, que estudiaron detalladamente su arquitectura, prestaron especial atención a Kimwolf. Según sus datos, el malware se propaga principalmente a través de dispositivos Android no certificados, convirtiéndolos en nodos proxy mediante un SDK incrustado llamado ByteConnect. La propagación se realiza tanto de forma directa como a través de aplicaciones dudosas instaladas por defecto en los dispositivos. Como resultado de la infección, más de 2 millones de dispositivos con la interfaz ADB abierta pasan a formar parte de la red, que se utiliza para eludir la filtración de tráfico y para infectar otros dispositivos.
Más adelante se supo que los creadores de Kimwolf no solo alquilaban acceso a dispositivos infectados, sino que también intentaban vender tráfico proxy por una tarifa fija. En septiembre, el equipo Black Lotus Labs registró actividad procedente de direcciones IP canadienses que se conectaban por SSH a los servidores de mando de la botnet. Uno de esos dominios llegó a situarse por encima de Google en la lista de dominios más populares de Cloudflare en noviembre, antes de ser eliminado del ranking.
En octubre se descubrió otro servidor de mando alojado en una dirección IP de un proveedor de hosting de Utah: Resi Rack LLC. La compañía se presenta como proveedor de servidores de juegos, pero se comprobó que sus cofundadores participaron en la venta de acceso a proxies a través de un servidor de Discord llamado resi[.]to. Ese canal de comunicación desapareció posteriormente, pero fue precisamente por él que se realizaron ventas activas de nodos infectados.
Más o menos al mismo tiempo, Black Lotus Labs registró un aumento brusco en el número de nuevos bots en la red Kimwolf: su total alcanzó 800 000 a mediados de octubre. Casi todos estaban a la venta a través del mismo servicio de proxies residenciales. La investigación mostró que la botnet escaneaba activamente servicios como PYPROXY en busca de vulnerabilidades e infiltraba redes locales, infectando dispositivos con el modo ADB activado. Este enfoque permitía convertirlos en nuevos nodos proxy y alquilarlos a actores maliciosos que luego usaban el acceso para propagar más malware.
Tras el bloqueo de uno de los servidores de la botnet en octubre, los operadores trasladaron el control a otra dirección IP también perteneciente a Resi Rack LLC. Poco después se produjo un aumento de la actividad relacionada con la distribución de malware, lo que indicaba una estrecha conexión entre esas direcciones IP y la infraestructura de AISURU.
En ese contexto, se publicó información sobre una nueva red de proxies que incluye más de 800 routers comprometidos con KeeneticOS. Según el informe, las configuraciones idénticas y las huellas SSH indican un carácter automatizado en el ataque: posiblemente mediante contraseñas robadas o vulnerabilidades incorporadas en el firmware.
Los routers infectados se utilizaron como nodos proxy, ayudando a los atacantes a enmascarar la actividad maliciosa como tráfico habitual de usuarios domésticos. Estos dispositivos, a diferencia de los centros de datos o los hostings comerciales, no suelen aparecer en las listas de actividad sospechosa y son difíciles de detectar con las herramientas estándar de análisis de tráfico.