Un nuevo botnet orientado a routers Asus y otros equipos de red, identificado como KadNap, ha llamado la atención de la comunidad de ciberseguridad. Según análisis de Black Lotus Labs (Lumen Technologies), esta campaña maliciosa ha logrado desde agosto de 2025 comprometer alrededor de 14 000 dispositivos, que se transforman en nodos de una red de proxys residenciales utilizada para encubrir tráfico malicioso.
Alcance del botnet KadNap y routers Asus como objetivo principal
Los investigadores describen KadNap como un botnet peer-to-peer (P2P), es decir, una red distribuida sin un único servidor central de mando y control. Esta arquitectura dificulta la desarticulación de la infraestructura, ya que cada dispositivo infectado actúa simultáneamente como cliente y servidor dentro de la botnet.
Los routers Asus aparecen como el blanco prioritario de los operadores de KadNap: cerca de la mitad de la infraestructura de gestión está específicamente optimizada para este fabricante, mientras que el resto de dispositivos comprometidos se vinculan a dos servidores de mando y control (C2) más tradicionales. El despliegue geográfico de los nodos muestra una concentración cercana al 60 % en Estados Unidos, con clusters relevantes en Taiwán y Hong Kong, un patrón típico en botnets que abusan de routers domésticos y de pequeñas oficinas.
Cadena de infección y persistencia en dispositivos comprometidos
La infección comienza con la descarga de un script malicioso denominado aic.sh desde la dirección IP 212.104.141[.]140. Este script se instala de manera persistente mediante un cron job que se ejecuta cada 55 minutos, garantizando que, aunque algunos procesos se detengan o se intenten eliminar, el componente malicioso se reactive de forma periódica.
En una fase posterior, el atacante despliega un binario ELF llamado kad, que actúa como cliente principal del botnet KadNap. Una vez ejecutado, este componente:
— identifica la dirección IP pública del router para conocer cómo se ve desde Internet;
— consulta varios servidores NTP con el fin de obtener la hora exacta;
— compara el tiempo de red con el reloj interno del sistema.
Esta sincronización horaria permite coordinar mejor actividades maliciosas distribuidas, como posibles ataques DDoS, y dificulta la detección basada en patrones de horario repetitivo, ya que las acciones se pueden ajustar con precisión a ventanas temporales específicas.
Infraestructura P2P basada en Kademlia DHT y ocultación de servidores C2
El rasgo técnico más distintivo de KadNap es el uso de una implementación personalizada de Kademlia DHT (Distributed Hash Table). Una DHT es una estructura distribuida donde cada nodo sólo almacena una parte limitada de la información, mientras los datos se reparten entre todos los participantes. En el contexto de un botnet, esto se traduce en que los servidores de mando y control quedan disimulados dentro de la red P2P, sin exponerse como destinos directos evidentes.
En lugar de consultar un listado estático de direcciones C2, los dispositivos infectados utilizan esta red Kademlia para descubrir de forma dinámica qué nodos actúan como controladores. Esta estrategia complica significativamente las labores de defensa, ya que las técnicas clásicas que consisten en identificar y bloquear un pequeño conjunto de servidores C2 pierden efectividad frente a una infraestructura distribuida y cambiante.
Punto débil en la implementación Kademlia de KadNap
A pesar de esta sofisticación, Black Lotus Labs ha identificado una debilidad arquitectónica. Antes de integrarse por completo en la DHT, cada bot debe mantener una conexión obligatoria y sostenida con dos nodos concretos, que sirven como puerta de entrada hacia la infraestructura de mando real. Este requisito introduce un elemento de centralización parcial, ofreciendo a los defensores un vector para monitorizar, perfilar y, eventualmente, bloquear una parte sustancial del ecosistema KadNap.
Vínculos entre KadNap y el servicio de proxys residenciales Doppelganger
El análisis sugiere que KadNap está estrechamente relacionado con el servicio Doppelganger, una plataforma que comercializa el acceso a dispositivos comprometidos como proxys residenciales. Este servicio se considera probablemente un rebranding del conocido Faceless, anteriormente asociado al malware TheMoon, también especializado en vulnerar routers Asus.
Cómo se explotan los proxys residenciales en campañas maliciosas
Los proxys residenciales permiten a los actores maliciosos desviar su tráfico a través de IPs domésticas y de pequeñas oficinas, aumentando el grado de aparente legitimidad de sus comunicaciones. Este tipo de infraestructura suele emplearse para:
— lanzar ataques DDoS contra servicios web y APIs;
— realizar brotas de fuerza y credential stuffing contra cuentas de usuario;
— automatizar el scraping masivo de sitios, fraude publicitario y otras formas de abuso automatizado.
Dado que las peticiones provienen de direcciones IP asociadas a routers Asus y a otros dispositivos de consumo, diferenciar este tráfico de las conexiones legítimas se vuelve considerablemente más complejo, lo que incrementa el valor de estos proxys en mercados clandestinos.
Respuesta de operadoras y medidas para proteger routers Asus
Lumen Technologies ha comunicado que ha implementado controles de red para bloquear el tráfico hacia y desde la infraestructura de mando de KadNap dentro de su backbone. Además, la compañía planea publicar un conjunto detallado de indicadores de compromiso (IoC) que facilite a organizaciones y proveedores de servicios la detección temprana de dispositivos infectados y de comunicaciones sospechosas.
Para propietarios de routers Asus y otros dispositivos de red domésticos o de pequeña empresa, se recomiendan medidas de higiene básica en ciberseguridad:
— actualizar regularmente el firmware con versiones oficiales del fabricante;
— sustituir credenciales por defecto por contraseñas únicas y robustas;
— desactivar el acceso remoto de administración si no es estrictamente necesario;
— limitar UPnP y deshabilitar servicios expuestos a Internet que no se utilicen;
— vigilar picos de tráfico saliente inusual, especialmente hacia IPs desconocidas y servidores NTP poco habituales;
— ante sospechas de infección, realizar un restablecimiento a valores de fábrica y configurar de nuevo el router con parámetros seguros.
Los incidentes vinculados a KadNap refuerzan la evidencia de que los routers domésticos y de pequeñas oficinas (SOHO) siguen siendo un eslabón crítico en la infraestructura de los ciberdelincuentes. Adoptar una estrategia proactiva basada en actualizaciones continuas, configuración segura y monitorización del tráfico reduce de forma drástica la superficie de ataque y la probabilidad de que una red particular pase a formar parte de un botnet de proxys residenciales. Mantenerse informado sobre campañas como KadNap y aplicar sistemáticamente las buenas prácticas recomendadas es hoy un componente imprescindible de cualquier estrategia moderna de ciberseguridad.
