Un nuevo malware peligroso, denominado Kimwolf, ha infectado silenciosamente a más de 2 millones de dispositivos en todo el mundo, obligándolos a actuar como servidores proxy ilegales sin el conocimiento de sus propietarios.
La botnet ha crecido a un ritmo alarmante y actualmente se utiliza para llevar a cabo fraudes en línea, lanzar potentes ciberataques y robar información a millones de usuarios.
Investigadores de seguridad descubrieron esta preocupante tendencia a finales de 2025, revelando un sofisticado método de ataque que explota una vulnerabilidad en la forma en que las redes proxy populares protegen sus sistemas.
La infección se dirige a cajas baratas de Android TV y marcos de fotos digitales vendidos en línea, muchos de los cuales llegan de fábricas con ajustes de seguridad peligrosos ya activados.
Benjamin Brundage, un investigador de ciberseguridad de 22 años y fundador de Synthient, comenzó a investigar Kimwolf en octubre de 2025 mientras estudiaba para los exámenes finales en el Rochester Institute of Technology.
Su investigación reveló un patrón preocupante: el malware se estaba propagando a través de una debilidad en el funcionamiento de los servicios de proxy residenciales más grandes del mundo.
Brundage descubrió que los atacantes podían eludir las reglas de seguridad cambiando la configuración de DNS para acceder a redes domésticas privadas a través de dispositivos proxy infectados.
Encontró que la red proxy más grande, llamada IPIDEA, había dejado un grave agujero de seguridad abierto que permitía a los delincuentes acceder a las redes domésticas de las personas e instalar malware en los dispositivos conectados sin ninguna barrera de autenticación.
El analista e investigador de KrebsOnSecurity, Brian Krebs, señaló los hallazgos críticos de Brundage después de que el investigador alertara a varios proveedores de proxy sobre la vulnerabilidad.
Flujo de ataque
La cobertura de Krebs destacó cómo la investigación reveló la pesadilla de seguridad de dos vertientes: primero, muchas cajas de TV no oficiales vienen con malware preinstalado de fábrica, y segundo, estos dispositivos tienen una potente función llamada Android Debug Bridge que permanece activada, lo que permite a cualquiera en la misma red tomar el control total de ellos con un simple comando.
El ataque se propaga a través de una combinación de seguridad débil en dispositivos de transmisión económicos y redes proxy vulnerables.
Los atacantes identifican los puntos finales proxy infectados escaneando dispositivos con el modo Android Debug Bridge habilitado, luego utilizan una técnica sencilla: emiten un comando que dice “adb connect [device-ip]:5555” para obtener acceso de superusuario.
.webp)
Una vez dentro, descargan el malware dirigiendo los sistemas a visitar una dirección web específica y utilizando una frase de contraseña “krebsfiveheadindustries” para desbloquear la descarga maliciosa.
Los datos de Synthient muestran que dos tercios de los dispositivos infectados son cajas de Android TV, mientras que el resto de las infecciones se propagan a través de marcos de fotos digitales y teléfonos móviles que ejecutan aplicaciones proxy ocultas.
El malware obliga a estos dispositivos a retransmitir mensajes de spam, cometer fraudes publicitarios, intentar tomar el control de cuentas y participar en ataques de denegación de servicio distribuido que pueden dejar fuera de línea los principales sitios web durante períodos prolongados.
El descubrimiento de los métodos de persistencia de Kimwolf revela cómo la botnet se reconstruye después de las interrupciones.
Brundage observó que la red se recuperaba de un intento de eliminación volviendo a casi cero sistemas infectados a 2 millones de dispositivos comprometidos en tan solo unos días, tunelizando a través del suministro de proxy frescos de IPIDEA.
Esta rápida capacidad de recuperación proviene de la enorme reserva de más de 100 millones de direcciones proxy residenciales disponibles de IPIDEA. Los operadores del malware monetizan su botnet a través de múltiples canales: vendiendo servicios de instalación de aplicaciones, alquilando ancho de banda proxy y ofreciendo capacidades de ataque DDoS a otros delincuentes.
Los investigadores de seguridad esperan que este patrón de ataque se extienda a medida que más grupos criminales descubran estas debilidades, convirtiendo las redes proxy residenciales en objetivos principales para el compromiso a gran escala de dispositivos y los intentos de violación de la red.
Síguenos en Google News, LinkedIn y X para obtener más actualizaciones instantáneas, establece CSN como una fuente preferida en Google.
