Tu router ASUS tiene una doble vida: ahora está ayudando a cibercriminales a robar contraseñas.
Te explicamos cómo un programa astuto engaña a tu red Wi‑Fi cada 55 minutos.
El equipo de la unidad Black Lotus Labs de Lumen Technologies detectó un nuevo botnet, KadNap, que opera desde agosto de 2025. KadNap infecta routers ASUS y otros equipos de borde de red, convirtiendo los dispositivos en proxies para tráfico malicioso. En unos meses la red creció hasta aproximadamente 14 000 nodos y se convirtió en parte de una extensa infraestructura que los ciberdelincuentes usan para ocultar ataques y evadir bloqueos.
Los nodos se agrupan en una red peer-to-peer y se comunican con la infraestructura de control mediante una versión modificada del protocolo de tabla hash distribuida Kademlia. Este enfoque complica la detección de los servidores de control, ya que los datos se distribuyen entre los participantes de la red y cada nodo almacena solo una parte de la información.
Aproximadamente la mitad de los dispositivos infectados están vinculados con servidores de control que gestionan bots basados en routers ASUS. Los nodos restantes se conectan a otros dos servidores de control. El mayor número de sistemas infectados está en EE. UU.: alrededor del 60% de toda la red. También hay proporciones significativas en Taiwán, Hong Kong y Rusia.
La infección comienza con la descarga de un script malicioso llamado aic.sh desde un servidor remoto. El script se persiste en el sistema mediante una tarea cron que se ejecuta cada 55 minutos. A continuación, el dispositivo descarga un archivo ELF llamado kad, que instala el cliente KadNap. Al iniciarse, el programa determina la dirección IP externa del dispositivo y consulta varios servidores NTP para obtener la hora actual y la información de tiempo de actividad del sistema.
Para ocultarse, KadNap utiliza una implementación modificada del protocolo Kademlia. A través de la red distribuida, el malware busca otros nodos y obtiene direcciones de la infraestructura de control, lo que dificulta la supervisión de red tradicional y el bloqueo. Sin embargo, los investigadores observaron una peculiaridad en la implementación: antes de contactar con los servidores de control, los dispositivos infectados se conectan de manera regular a dos nodos fijos. Esa característica reduce el grado de descentralización y permite identificar elementos de la infraestructura de control.
El análisis mostró una relación de KadNap con el servicio de proxy Doppelganger. Según el equipo de Lumen Technologies, el servicio podría ser una versión renombrada de la plataforma Faceless, vinculada anteriormente con el botnet TheMoon, que también atacó routers ASUS. La plataforma comercializa acceso a dispositivos infectados como proxies "residenciales". Mediante estos nodos los atacantes reenvían tráfico malicioso, ocultan el origen real de los ataques y evaden bloqueos.
Estos proxies suelen emplearse en ataques de denegación de servicio distribuida (DDoS), ataques de fuerza bruta contra contraseñas e intentos masivos de obtención de credenciales. En esos casos, la actividad maliciosa proviene de los dispositivos infectados.
Los autores del informe también recomiendan a los administradores vigilar tareas cron inusuales, conexiones regulares con nodos desconocidos y la descarga de archivos sospechosos en dispositivos de red. Esos indicios pueden señalar la presencia del cliente malicioso KadNap. La verificación temprana del equipo y el bloqueo de conexiones sospechosas permiten reducir el número de dispositivos infectados y dificultar las operaciones del botnet.