Un análisis reciente de QiAnXin XLab ha sacado a la luz el botnet Kimwolf, una infraestructura maliciosa a gran escala que ha conseguido comprometer en pocas semanas alrededor de 1,83 millones de dispositivos Android en todo el mundo. La campaña se centra especialmente en el ecosistema de consumo: smart TV, TV Box, decodificadores y tabletas Android, un entorno históricamente menos protegido que los teléfonos y los ordenadores.
Alcance global del botnet Kimwolf en Android TV y TV Box
La actividad de Kimwolf se disparó a finales de 2024. Entre el 19 y el 22 de noviembre, uno de sus dominios de mando y control, 14emeliaterracewestroxburyma02132[.]su, generó tal volumen de tráfico que llegó a situarse entre los 100 dominios más activos de Cloudflare, superando incluso en peticiones a grandes servicios legítimos como Google. Este dato refleja tanto la envergadura del tráfico de control como el potencial de ataque DDoS de la botnet.
A principios de diciembre, tras el secuestro de uno de los dominios C2 por parte de QiAnXin XLab, se identificaron unos 1,83 millones de direcciones IP activas pertenecientes a bots Kimwolf. La infección presenta una distribución global, con Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas entre los países más afectados. Entre los equipos comprometidos se encuentran numerosos modelos populares de TV Box y smart TV, como TV BOX, SuperBOX, X96Q, SmartTV, MX10 y otros dispositivos similares de bajo coste.
Vínculos entre Kimwolf y el botnet Aisuru
Los investigadores apuntan a una relación estrecha entre Kimwolf y el botnet Aisuru, implicado previamente en algunas de las mayores campañas DDoS de 2024. Entre septiembre y noviembre, ambos botnets se distribuyeron a través de scripts de infección prácticamente idénticos y en muchos casos coexistieron en los mismos dispositivos, algo inusual en campañas delictivas que suelen competir por recursos.
Otros indicadores refuerzan esta conexión. En VirusTotal se han detectado APK firmados con certificados coincidentes, incluida una llamativa firma bajo el nombre «John Dinglebert Dinglenut VIII VanSack Smith». Además, el servidor 93.95.112[.]59 actuó como infraestructura de descarga común, distribuyendo APK tanto de Kimwolf como de Aisuru. Todo ello sugiere que Kimwolf podría partir de la misma base de código que Aisuru y haberse bifurcado como proyecto separado para evadir reglas de detección y dificultar la atribución forense.
Arquitectura técnica: NDK, DDoS, proxies y control remoto
Kimwolf está desarrollado con Android NDK, lo que le permite ejecutar código nativo más cercano al hardware y con menor visibilidad para muchas soluciones de seguridad orientadas a aplicaciones Java/Kotlin. El malware ofrece a sus operadores un conjunto completo de capacidades:
• Ataques DDoS: uso masivo del ancho de banda y la capacidad de conexión de los dispositivos para saturar servicios online.
• Red de proxies: conversión de los equipos infectados en nodos intermedios para ocultar el origen real del tráfico malicioso o fraudulento.
• Acceso remoto: apertura de reverse shells y gestión de la sistema de archivos, lo que otorga control casi total sobre el dispositivo Android comprometido.
ENS y EtherHiding: cómo Kimwolf oculta sus servidores de mando
Tras varios derribos de su infraestructura de mando por actores aún no identificados, los operadores de Kimwolf han evolucionado hacia un modelo más resistente basado en Ethereum Name Service (ENS) y la técnica conocida como EtherHiding. En las variantes observadas a 12 de diciembre, la dirección IP del servidor C2 se recupera dinámicamente de un smart contract vinculado al dominio ENS pawsatyou[.]eth.
En la práctica, el código malicioso extrae un valor del campo de datos de una transacción en la blockchain de Ethereum, donde se esconde una dirección IPv6 codificada. Los últimos cuatro bytes de esa dirección se descifran mediante una operación XOR con la clave 0x93141715. Al distribuir la información crítica del C2 dentro de una red descentralizada, se complica la tarea de bloqueo y rastreo, ya que no existe un único servidor de configuración que pueda ser clausurado. Técnicas similares de EtherHiding ya habían sido documentadas por Guardio Labs en 2023 en campañas que abusaban de Binance Smart Chain.
Monetización: del DDoS a la venta de ancho de banda mediante proxies
Aunque se presenta como un botnet DDoS para Android, el análisis de la telemetría revela que más del 96 % de las órdenes recibidas por los bots están relacionadas con funciones de proxy, no con ataques de denegación de servicio. En los dispositivos infectados se despliega un Command Client escrito en Rust que integra los equipos en una red de proxies distribuida, así como el SDK ByteConnect, diseñado para la monetización del tráfico de red.
Este enfoque permite a los operadores de Kimwolf generar ingresos revendiendo la capacidad de conexión de smart TV y TV Box comprometidos a terceros, por ejemplo para eludir bloqueos geográficos, automatizar actividades abusivas o encubrir operaciones delictivas. Modelos similares han sido adoptados por otros botnets recientes como Badbox, Bigpanzi y Vo1d. Desde la aparición de Mirai en 2016, se observa una transición clara desde el IoT clásico (routers, cámaras IP) hacia plataformas Android y televisores inteligentes, dispositivos que rara vez se actualizan y cuya seguridad a menudo pasa desapercibida para el usuario final.
Riesgos para los usuarios y cómo proteger smart TV y TV Box Android
La expansión de botnets como Kimwolf demuestra que los Android TV y TV Box se han convertido en objetivos prioritarios del cibercrimen. Aunque estos equipos no almacenen información tan sensible como un portátil, su participación involuntaria en campañas DDoS o redes de proxies puede implicar riesgos legales, reputacionales y de privacidad para los propietarios.
Para reducir la superficie de ataque en smart TV y dispositivos Android de salón, se recomiendan las siguientes medidas básicas:
- Instalar apps solo desde fuentes oficiales (Google Play o tiendas de los fabricantes) y evitar APK de procedencia dudosa, foros o repositorios no verificados.
- No usar servicios IPTV piratas ni aplicaciones modificadas, que suelen ser un vector frecuente de malware en TV Box.
- Actualizar con regularidad la firmware de televisores y decodificadores, habilitando las actualizaciones automáticas cuando sea posible.
- Cambiar las contraseñas predeterminadas y desactivar servicios de acceso remoto que no se utilicen.
- Segregar los dispositivos inteligentes en una red o VLAN específica (segmento IoT o red de invitados), limitando así el impacto de una posible intrusión sobre el resto de la red doméstica o corporativa.
La rápida evolución de Kimwolf, su escala —con más de 1,8 millones de dispositivos Android comprometidos— y el uso de ENS y EtherHiding evidencian el grado de sofisticación que están alcanzando los botnets dirigidos a smart TV y TV Box. Es recomendable que usuarios, operadores de red y proveedores de servicios de contenido revisen sus estrategias de protección, incorporen monitorización de tráfico anómalo y apliquen de forma sistemática buenas prácticas de ciberhigiene y segmentación de red. Tratar el televisor inteligente como lo que ya es —un equipo conectado de propósito general— es el primer paso para no acabar formando parte, sin saberlo, de la próxima gran infraestructura criminal global.
