Investigadores de seguridad han identificado un nuevo botnet para Windows denominado Tsundere, que combina técnicas clásicas de ingeniería social con una infraestructura de mando y control (C2) basada en Web3 y contratos inteligentes de Ethereum. Este diseño hace que su desmantelamiento sea considerablemente más complejo que el de botnets tradicionales y marca un nuevo hito en la convergencia entre cibercrimen y tecnología blockchain.
Botnet Tsundere: alcance geográfico y técnicas de distribución
Las infecciones atribuidas a Tsundere se concentran actualmente en países de América Latina, especialmente México y Chile. El código del malware incluye mecanismos para evitar, en la medida de lo posible, sistemas ubicados en países de la CIS (Comunidad de Estados Independientes), aunque ya se han documentado incidentes en Rusia y Kazajistán. Este filtrado geográfico suele reflejar las preferencias y el perfil de riesgo que asumen los operadores.
La campaña está orientada al gran público usuario de videojuegos. Los atacantes distribuyen Tsundere como falsos instaladores de títulos multijugador populares, entre ellos Valorant, Counter‑Strike 2 (CS2) y Rainbow Six (R6). El usuario cree estar descargando un instalador legítimo, pero en realidad ejecuta un componente que incorpora el implante del botnet.
Métodos de infección: MSI, PowerShell y despliegue automatizado
El análisis técnico revela dos formatos principales de distribución de los implantes de Tsundere: paquetes MSI y scripts de PowerShell. Ambos se generan de forma automática, lo que permite a los atacantes producir rápidamente nuevas variantes y adaptar la campaña a diferentes escenarios de distribución o detección.
Tras su ejecución, el instalador malicioso despliega el implante, que a su vez descarga y ejecuta el módulo del bot. El objetivo es que este proceso pase desapercibido para el usuario, imitando el comportamiento esperado de un instalador legítimo y aprovechando que muchos controles de seguridad confían en formatos como MSI o herramientas integradas como PowerShell.
Arquitectura interna: ejecución continua de JavaScript y uso de WebSocket
Una vez activo, Tsundere se comporta como un intérprete de JavaScript controlado remotamente. El bot mantiene una conexión con el servidor C2 mediante el protocolo WebSocket, lo que le permite recibir y ejecutar de forma continua fragmentos de código JavaScript enviados por los operadores.
Este enfoque ofrece una gran flexibilidad operativa: los atacantes pueden modificar la lógica de ataque, desplegar nuevos módulos o lanzar comandos personalizados sin necesidad de redistribuir el malware. Desde la perspectiva defensiva, la comunicación WebSocket persistente dificulta la detección si no se monitoriza específicamente este tipo de tráfico.
Infraestructura C2 en Web3: contratos inteligentes de Ethereum como punto de anclaje
El rasgo más distintivo de Tsundere es su uso de Web3 y contratos inteligentes en la red Ethereum para gestionar la configuración de los servidores C2. En lugar de basarse en dominios o direcciones IP estáticas, los operadores almacenan la configuración cifrada –incluido el último endpoint WebSocket– en una variable de estado de un contrato inteligente.
Para actualizar la dirección del C2, los atacantes realizan una transacción de 0 ETH que modifica dicha variable en el contrato. Los equipos infectados consultan periódicamente nodos públicos RPC de Ethereum, monitorizan las transacciones relevantes y extraen de forma automática el nuevo punto de conexión del servidor de mando. Si un C2 es bloqueado, el botnet puede conmutar hacia otra infraestructura con solo una actualización en la cadena.
Por qué la infraestructura en blockchain complica la respuesta defensiva
La combinación de descentralización e inmutabilidad propia de Ethereum incrementa la resiliencia del botnet. Los registros en un contrato inteligente no pueden eliminarse ni alterarse retroactivamente, y la red no está bajo el control de una única entidad. Para los defensores, esto significa que las medidas tradicionales –como el bloqueo de dominios o rangos de IP– resultan insuficientes.
La detección y mitigación de Tsundere exige correlacionar actividad en blockchain (transacciones, lectura de contratos, uso de RPC públicos) con eventos de red y de endpoint. Este tipo de análisis ya se considera una tendencia emergente en la ciberseguridad, a medida que más amenazas experimentan con Web3 para aumentar su persistencia.
Relación con paquetes npm maliciosos y el ladrón de información 123 Stealer
Los investigadores vinculan Tsundere con una campaña previa, detectada en octubre de 2024, en la que se subieron a npm cientos de paquetes maliciosos para Node.js. Estos paquetes utilizaban typosquatting: nombres muy similares a bibliotecas populares como Puppeteer o Bignum.js, con uno o dos caracteres de diferencia, con el fin de que desarrolladores los instalasen por error.
El análisis de la infraestructura ha puesto de manifiesto conexiones entre Tsundere y el stealer 123 Stealer, una familia de malware difundida en foros clandestinos. Ambas amenazas comparten componentes técnicos, nodos de infraestructura y se asocian a un mismo alias, koneko, que se presenta en la dark web como “desarrollador sénior de malware en Node.js”. Esta continuidad explica el papel central de JavaScript y Web3 en el diseño del botnet.
Origen probable de los operadores y madurez del ecosistema criminal
El estudio de cadenas de texto, comentarios en el código y las exclusiones geográficas sugiere que los desarrolladores de Tsundere son hablantes de ruso. La decisión de reducir la exposición en parte de la región CIS es coherente con patrones observados en otros grupos delictivos con base en ese ámbito lingüístico.
La evolución desde paquetes npm maliciosos hasta un botnet completo soportado en Web3 indica un esfuerzo sostenido por construir una infraestructura criminal flexible, autónoma y resistente a la atribución. El uso de tecnologías de vanguardia no responde a una moda, sino a una estrategia clara de reducción del riesgo operativo y de aumento de la escalabilidad de las campañas.
Riesgos para usuarios y empresas: impacto y recomendaciones de seguridad
Tsundere puede emplearse para robo de credenciales y datos sensibles, despliegue de nuevos módulos de malware, lanzamiento de ataques DDoS o minería encubierta de criptomonedas. Su vector de entrada –falsos instaladores de juegos y herramientas aparentemente legítimas– lo hace especialmente peligroso para usuarios domésticos, pero también para entornos corporativos donde se combine equipo de trabajo y uso personal.
1. Descargar juegos y software únicamente desde sitios oficiales, plataformas reconocidas y lanzadores verificados, evitando “repacks”, cracks y páginas no confiables.
2. Verificar la firma digital de los instaladores y desconfiar de solicitudes inusuales de privilegios elevados, especialmente al instalar juegos, mods o utilidades relacionadas.
3. En entornos corporativos, restringir y auditar el uso de PowerShell, aplicando el principio de mínimo privilegio y registro detallado de comandos y scripts.
4. Implementar soluciones de seguridad avanzadas capaces de detectar comportamientos anómalos asociados a WebSocket, PowerShell, MSI y conexiones a endpoints Web3/RPC sospechosos.
5. Para desarrolladores, extremar la precaución al instalar dependencias en npm y otros repositorios, comprobando cuidadosamente los nombres de los paquetes y revisando su reputación y procedencia para evitar el typosquatting.
La aparición de Tsundere confirma que los ciberdelincuentes adoptan con rapidez tecnologías como Web3, contratos inteligentes y canales de comunicación en tiempo real para reforzar sus botnets. Mantenerse protegido exige combinar buenas prácticas de higiene digital con herramientas de defensa modernas y una actualización constante del conocimiento sobre nuevas tácticas y amenazas. Invertir tiempo en entender cómo operan estos botnets y adaptar las políticas de seguridad en consecuencia es hoy una de las formas más eficaces de reducir la superficie de ataque tanto en el ámbito personal como empresarial.
