El botnet Kimwolf, una rama Android de la conocida familia de malware Aisuru, se ha consolidado en pocos meses como una de las redes de dispositivos comprometidos más extensas del momento. De acuerdo con estimaciones de Synthient, este botnet controla ya casi dos millones de hosts Android y llega a movilizar alrededor de 12 millones de direcciones IP únicas por semana, lo que le otorga un enorme potencial para ataques de denegación de servicio distribuido (DDoS) y abusos de infraestructura a gran escala.
Origen de Kimwolf y vínculo con DDoS récord de 29,7 Tbps
Kimwolf deriva directamente de Aisuru, una familia de malware conocida en la comunidad de ciberseguridad por haber participado en una de las mayores DDoS registradas hasta la fecha. Según datos publicados por Cloudflare, dicha ofensiva alcanzó una potencia de aproximadamente 29,7 Tbps. Este precedente ilustra la capacidad destructiva de una infraestructura compuesta por millones de dispositivos IoT y Android comprometidos, cuando se coordinan para saturar objetivos concretos.
La actividad de Kimwolf se ha intensificado desde agosto del año pasado. Investigadores de QiAnXin XLab reportaron que a principios de diciembre de 2025 el botnet ya había incorporado más de 1,8 millones de dispositivos Android comprometidos. Observaciones posteriores de Synthient indican que la cifra se aproxima rápidamente a los dos millones, con una campaña de infección aún en marcha y en expansión geográfica.
Botnet Kimwolf y expansión mediante redes de proxies residenciales
Un componente diferencial de Kimwolf es su explotación agresiva de las redes de proxies residenciales. Estos servicios se basan en PC, smartphones, TV Box y otros dispositivos de usuario final en los que se instalan SDK o aplicaciones que convierten el equipo en un nodo proxy. El tráfico de terceros —incluido el generado por atacantes— se enruta a través de estos dispositivos, enmascarando el origen real de las conexiones y dificultando su trazabilidad.
De acuerdo con Synthient, los operadores de Kimwolf se apoyan en proveedores de proxies que permiten acceso a direcciones IP locales y a un amplio rango de puertos internos. Esto abre un camino directo hacia otros dispositivos de la misma red local del cliente del proxy, incluso cuando estos no son accesibles desde Internet público. En la práctica, esta técnica convierte a las pasarelas de proxy residencial en un puente hacia Android TV Box, decodificadores y otros equipos IoT mal protegidos.
Explotación de Android Debug Bridge (ADB) expuesto en dispositivos Android
Desde noviembre de 2025 se ha observado un incremento significativo en el escaneo de servicios Android Debug Bridge (ADB) sin autenticación a través de endpoints de proxy. ADB es una herramienta de depuración incluida en Android que permite instalar aplicaciones, ejecutar comandos y gestionar el sistema de forma remota. En numerosos dispositivos económicos —especialmente TV Box y dongles de streaming— ADB se distribuye activado por defecto y sin protección de credenciales.
Kimwolf busca de forma automática dispositivos con ADB expuesto en los puertos 5555, 5858, 12108 y 3222. Un análisis del pool de proxies de IPIDEA reveló que alrededor del 67 % de los dispositivos Android accesibles a través de esta red no solicitaban ninguna autenticación, situándolos en un nivel de riesgo crítico de ejecución remota de código. En total, los investigadores identificaron cerca de seis millones de direcciones IP potencialmente vulnerables, muchas de ellas asociadas a equipos ya vendidos con SDK de proxy preinstalados.
Cadena de infección: del acceso ADB al DDoS y a la venta de tráfico proxy
Una vez localizado un dispositivo con ADB abierto, los atacantes establecen conexión y transfieren la carga maliciosa empleando utilidades como netcat o telnet. Se envían shell scripts que se almacenan, por ejemplo, en /data/local/tmp y que, al ejecutarse, instalan los componentes de Kimwolf y registran el dispositivo en la infraestructura de mando y control del botnet. Este proceso no requiere interacción del usuario y suele pasar completamente desapercibido.
Los dispositivos infectados cumplen varios roles simultáneos. Por un lado, se integran en la red de DDoS, aportando ancho de banda y direcciones IP distribuidas globalmente. Por otro, se integran en redes de proxies anónimos, que se revenden comercialmente. Además, los operadores de Kimwolf monetizan la infección instalando aplicaciones con SDK de terceros —como Plainproxies Byteconnect— para generar ingresos adicionales mediante alquiler de tráfico, fraude publicitario y otras formas de abuso.
Respuesta de los proveedores de proxy y riesgos para usuarios finales
Uno de los proveedores más afectados ha sido la plataforma IPIDEA, especialmente atractiva para los operadores de Kimwolf por permitir acceso a todos los puertos, incluidos los locales. Tras recibir la notificación de Synthient, la compañía anunció a finales de diciembre la restricción del acceso a redes internas y el bloqueo de rangos amplios de puertos, con el objetivo de limitar nuevas explotaciones. Investigadores han remitido alrededor de una decena de informes de vulnerabilidad a otros proveedores implicados, aunque aún no se ha identificado de forma completa todo el ecosistema de servicios utilizados por Kimwolf.
Para los usuarios finales, el riesgo reside en que muchos dispositivos Android de bajo coste y equipos IoT se comercializan ya con SDK de proxy preinstalados y con ADB habilitado por defecto. Esta combinación crea un vector de ataque listo para usar, sin que el propietario del dispositivo sea consciente de que su ancho de banda y su dirección IP pueden acabar siendo parte de un botnet destinado a DDoS y actividades ilícitas. Las redes domésticas y pequeñas empresas resultan especialmente expuestas cuando carecen de segmentación y controles de acceso adecuados.
La expansión de Kimwolf evidencia la peligrosidad del cruce entre proxies residenciales, configuraciones de seguridad débiles y ADB sin protección en el ecosistema Android e IoT. Para reducir la superficie de ataque, es fundamental desactivar ADB en TV Box y dispositivos de streaming, limitar el acceso a la red local, aplicar con rapidez las actualizaciones de firmware y revisar cuidadosamente las aplicaciones y permisos instalados. En entornos corporativos, se recomienda inventariar todos los dispositivos conectados, bloquear SDK de proxy no autorizados y aplicar segmentación de red estricta. Adoptar estas medidas de forma proactiva es clave para impedir que hogares y empresas se conviertan, sin saberlo, en la infraestructura que sostiene los próximos megaataques DDoS y redes de proxies criminales.
