Investigadores de ciberseguridad han advertido sobre una campaña maliciosa activa dirigida a la fuerza laboral en la República Checa con una botnet previamente indocumentada denominada mezcla de polvo desde al menos diciembre de 2025.

«PowMix emplea intervalos aleatorios de balizas de comando y control (C2), en lugar de una conexión persistente al servidor C2, para evadir las detecciones de firmas de red», dijo Chetan Raghuprasad, investigador de Cisco Talos. dicho en un informe publicado hoy.

«PowMix incorpora los datos de latidos cifrados junto con identificadores únicos de la máquina víctima en las rutas URL de C2, imitando las URL de API REST legítimas. PowMix tiene la capacidad de actualizar dinámicamente de forma remota el nuevo dominio C2 al archivo de configuración de la botnet».

La cadena de ataque comienza con un archivo ZIP malicioso, probablemente entregado a través de un correo electrónico de phishing, para activar una cadena de infección de varias etapas que elimina PowMix. Específicamente, se trata de un acceso directo de Windows (LNK) que se utiliza para iniciar un cargador de PowerShell, que luego extrae el malware incrustado en el archivo, lo descifra y lo ejecuta en la memoria.

La botnet nunca antes vista está diseñada para facilitar el acceso remoto, el reconocimiento y la ejecución remota de código, al tiempo que establece persistencia mediante una tarea programada. Al mismo tiempo, verifica el árbol de procesos para garantizar que no se esté ejecutando otra instancia del mismo malware en el host comprometido.

La lógica de gestión remota de PowMix le permite procesar dos tipos diferentes de comandos enviados desde el servidor C2. Cualquier respuesta sin prefijo # hace que PowMix cambie al modo de ejecución arbitrario y descifre y ejecute la carga útil obtenida.

• #KILL, para iniciar una rutina de autoeliminación y borrar rastros de todos los artefactos maliciosos
• #HOST, para habilitar la migración de C2 a una nueva URL del servidor.

Paralelamente, también abre un documento señuelo con señuelos con temática de cumplimiento como mecanismo de distracción. Los documentos señuelo hacen referencia a marcas legítimas como Edeka e incluyen datos de compensación y referencias legislativas válidas, potencialmente en un esfuerzo por mejorar su credibilidad y engañar a los destinatarios, como los aspirantes a empleo.

Talos dijo que la campaña comparte cierto nivel de superposición táctica con una campaña denominada ZipLine que Check Point reveló a fines de agosto de 2025 como dirigida a empresas de fabricación críticas para la cadena de suministro con un malware en memoria llamado MixShell.

Esto incluye el uso de la misma entrega de carga útil basada en ZIP, la persistencia de tareas programadas y el abuso de Heroku para C2. Dicho esto, no se han observado cargas útiles finales más allá del propio malware botnet, lo que deja sin respuesta preguntas sobre sus motivos exactos.

«PowMix evita conexiones persistentes al servidor C2», dijo Talos. «En su lugar, implementa una fluctuación a través del comando Get-Random PowerShell para variar los intervalos de baliza inicialmente entre 0 y 261 segundos, y posteriormente entre 1.075 y 1.450 segundos. Esta técnica intenta evitar la detección de tráfico C2 a través de firmas de red predecibles».

La divulgación se produce cuando Bitsight arroja luz sobre la cadena de infección asociada con la botnet RondoDox, destacando las capacidades en evolución del malware para extraer criptomonedas ilícitamente en sistemas infectados usando XMRig además de la funcionalidad de ataque de denegación de servicio distribuido (DDoS) existente.

Los hallazgos pintan la imagen de un malware mantenido activamente que ofrece evasión mejorada, mayor resistencia, eliminación agresiva de la competencia y un conjunto de funciones ampliado.

RondoDox es capaz de explotar más de 170 vulnerabilidades conocidas en varias aplicaciones conectadas a Internet para obtener acceso inicial y soltar un script de shell que realiza un antianálisis básico y elimina el malware de la competencia antes de soltar el binario de botnet apropiado para la arquitectura.

El malware «realiza múltiples comprobaciones e implementa técnicas para obstaculizar el análisis, que incluyen el uso de nanomites, cambiar el nombre/eliminar archivos, eliminar procesos y comprobar activamente si hay depuradores durante la ejecución», dijo el científico investigador principal de Bitsight, João Godinho. dicho.

«El robot es capaz de ejecutar ataques DoS en Internet, en la capa de transporte y de aplicación, dependiendo del comando y los argumentos emitidos por el C2».

Thursday. Another week, another batch of things that probably should’ve been caught sooner but weren’t.

This one’s got some range — old vulnerabilities getting new life, a few «why was that even possible» moments, attackers leaning on platforms and tools you’d normally trust without thinking twice. Quiet escalations more than loud zero-days, but the kind that matter more in practice anyway.

Mix of malware, infrastructure exposure, AI-adjacent weirdness, and some supply chain stuff that’s… not great. Let’s get into it.

That’s the week. A lot of ground covered — old problems with new angles, platforms being abused in ways they weren’t designed for, and a few things that are just going to keep getting worse before anyone seriously addresses them.

Patch what you can. Audit what you’ve trusted by default. And maybe double-check anything that touches AI right now — that space is getting messy fast.

Same time next Thursday.

Investigadores de ciberseguridad han levantado el telón sobre una botnet sigilosa diseñada para ataques distribuidos de denegación de servicio (DDoS).

Llamado masjesula botnet se ha anunciado a través de Telegram como un servicio de alquiler de DDoS desde que apareció por primera vez en 2023. Es capaz de apuntar a una amplia gama de dispositivos de IoT, como enrutadores y puertas de enlace, que abarcan múltiples arquitecturas.

«Construido para la persistencia y la baja visibilidad, Masjesu prefiere una ejecución cuidadosa y discreta a una infección generalizada, evitando deliberadamente rangos de IP bloqueados como los que pertenecen al Departamento de Defensa (DoD) para garantizar la supervivencia a largo plazo», dijo el investigador de seguridad de Trellix Mohideen Abdul Khader F. dicho en un informe del martes.

Vale la pena señalar que la oferta comercial también se conoce con el nombre de XorBot debido a su uso de cifrado basado en XOR para ocultar cadenas, configuraciones y datos de carga útil. Fue documentado por primera vez por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vinculándolo con un operador llamado «synmaestro».

A Se descubrió que la iteración posterior de la botnet observada un año después había agregado 12 exploits diferentes de inyección de comandos y ejecución de código para apuntar a enrutadores, cámaras, DVR y NVR de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron, y obtener acceso inicial. También se agregaron nuevos módulos para realizar ataques de inundación DDoS.

«Como familia de botnets emergente, XorBot está mostrando un fuerte impulso de crecimiento, infiltrándose y controlando continuamente nuevos dispositivos de IoT», dijo NSFOCUS en noviembre de 2024. «En particular, estos controladores están cada vez más inclinados a utilizar plataformas de redes sociales como Telegram como canales principales para el reclutamiento y la promoción, atrayendo ‘clientes’ objetivo a través de actividades promocionales activas iniciales, sentando una base sólida para la posterior expansión y desarrollo de la botnet».

Los últimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de llevar a cabo ataques DDoS volumétricos, enfatizando su diversa infraestructura de botnet y su idoneidad para apuntar a redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques organizados por la botnet se originan principalmente en Vietnam, Ucrania, Irán, Brasil, Kenia e India, y Vietnam representa casi el 50% del tráfico observado.

Una vez implementado en un dispositivo comprometido, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir que el atacante se conecte directamente. Si esta operación falla, la cadena de ataque se elimina inmediatamente.

De lo contrario, el malware procede a configurar la persistencia, ignorar las señales relacionadas con la terminación, detener procesos comúnmente utilizados como wget y curl, posiblemente para interrumpir las botnets competidoras, y luego se conecta a un servidor externo para recibir comandos de ataque DDoS para ejecutarlos contra objetivos de interés.

Masjesu también se jacta de capacidades de autopropagación, lo que le permite sondear direcciones IP aleatorias en busca de puertos abiertos e integrar con éxito los dispositivos comprometidos en su infraestructura. Una adición notable a la lista de objetivos de explotación son los enrutadores Realtek, que se lleva a cabo escaneando en busca de 52869, un puerto asociado con SDK de Realtekminiigd demonio. Múltiples botnets DDoS, como JenX y Satorihan abrazado el mismo enfoque en el pasado.

«La botnet continúa expandiéndose al infectar una amplia gama de dispositivos IoT en múltiples arquitecturas y fabricantes», dijo Trellix. «En particular, Masjesu parece evitar apuntar a organizaciones críticas sensibles que podrían generar una atención legal o policial significativa, una estrategia que probablemente mejora su capacidad de supervivencia a largo plazo».

Se ha observado una campaña activa dirigida a instancias expuestas a Internet que ejecutan ComfyUI, una popular plataforma de difusión estable, para incluirlas en una botnet proxy y de minería de criptomonedas.

«Un escáner Python especialmente diseñado barre continuamente los principales rangos de IP de la nube en busca de objetivos vulnerables, instalando automáticamente nodos maliciosos a través de ComfyUI-Manager si no hay ningún nodo explotable presente», dijo el investigador de seguridad de Censys, Mark Ellzey. dicho en un informe publicado el lunes.

La actividad de ataque, en esencia, busca sistemáticamente instancias expuestas de ComfyUI y explota una configuración incorrecta que permite la ejecución remota de código en implementaciones no autenticadas a través de nodos personalizados.

Tras una explotación exitosa, los hosts comprometidos se agregan a una operación de criptominería que extrae Monero a través de XMRig y Conflux a través de lolMiner, así como a una botnet Hysteria V2. Ambos se administran de forma centralizada a través de un panel de comando y control (C2) basado en Flask.

Los datos de las plataformas de gestión de superficies de ataque muestran que hay más de 1000 instancias de ComfyUI de acceso público. Si bien no es un número enorme, es suficiente para que un actor de amenazas ejecute campañas oportunistas para obtener ganancias financieras.

Censys dijo que descubrió la campaña el mes pasado después de identificar un directorio abierto en 77.110.96[.]200una dirección IP asociada con un proveedor de servicios de hosting a prueba de balas, Aeza Group. Se dice que el directorio contenía un conjunto de herramientas no documentadas previamente para llevar a cabo los ataques.

Esto incluye dos herramientas de reconocimiento para enumerar las instancias de ComfyUI expuestas en la infraestructura de la nube, identificar aquellas que tienen instalado ComfyUI-Manager y seleccionar aquellas que son susceptibles al exploit de ejecución de código.

Uno de los dos scripts de Python del escáner también funciona como un marco de explotación que utiliza los nodos personalizados de ComfyUI como arma para lograr la ejecución del código. Esta técnica, algunos aspectos de los cuales fueron documentado por Snyk en diciembre de 2024, aprovecha el hecho de que algunos nodos personalizados aceptan código Python sin formato como entrada y lo ejecutan directamente sin requerir ninguna autenticación.

Como resultado, un atacante puede escanear instancias expuestas de ComfyUI en busca de familias de nodos personalizados específicos que admitan la ejecución de código arbitrario, convirtiendo efectivamente el servicio en un canal para entregar cargas útiles de Python controladas por el atacante. Algunas de las familias de nodos personalizados que el ataque busca particularmente se enumeran a continuación:

• Vova75Rus/ComfyUI-Shell-Executor
• filliptm/ComfyUI_Fill-Nodes
• seanlynch/srl-nodos
• ruiqutech/ComfyUI-RuiquNodes

«Si ninguno de los nodos objetivo está presente, el escáner comprueba si ComfyUI-Manager está instalado», dijo Censys. «Si está disponible, instala él mismo un paquete de nodo vulnerable y luego vuelve a intentar la explotación».

Vale la pena señalar que «ComfyUI-Shell-Executor» es un paquete malicioso creado por el atacante para recuperar un script de shell de la siguiente etapa («ghost.sh») de la dirección IP antes mencionada. Una vez que se obtiene la ejecución del código, el escáner elimina la evidencia del exploit borrando el historial de mensajes de ComfyUI.

Una versión más nueva del escáner también incorpora mecanismos de persistencia que hacen que el script de shell se descargue cada seis horas y que el flujo de trabajo del exploit se vuelva a ejecutar cada vez que se inicia ComfyUI.

El script de shell, por su parte, desactiva el historial de shell, elimina a los mineros competidores, inicia el proceso de minería y utiliza el gancho LD_PRELOAD para ocultar un proceso de vigilancia que garantiza que el proceso de minería se recupere en caso de que finalice.

Además, el programa minero se copia en varias ubicaciones, de modo que incluso si se borra el directorio de instalación principal, se puede iniciar desde una de las ubicaciones alternativas. Un tercer mecanismo que utiliza el malware para garantizar la persistencia es el uso del «chattr +i«comando para bloquear los archivos binarios del minero y evitar que sean eliminados, modificados o renombrados, incluso por el usuario root.

«También hay un código dedicado dirigido a un competidor específico, ‘Hisana’ (al que se hace referencia en todo el código), que parece ser otra botnet de minería», explicó Censys. «En lugar de simplemente matarlo, ghost.sh sobrescribe su configuración para redirigir la producción minera de Hisana a su propia dirección de billetera, luego ocupa el puerto C2 de Hisana (10808) con un oyente Python ficticio para que Hisana no pueda reiniciarse».

Los hosts infectados se controlan mediante un panel C2 basado en Flask, que permite al operador enviar instrucciones o implementar cargas útiles adicionales, incluido un script de shell que instala Hysteria V2 con el objetivo probable de vender nodos comprometidos como servidores proxy.

Un análisis más detallado del historial de comandos de shell del atacante ha revelado un intento de inicio de sesión SSH como root en la dirección IP. 120.241.40[.]237que se ha relacionado con un campaña de gusanos en curso dirigido a servidores de bases de datos Redis expuestos.

«Gran parte de las herramientas en este repositorio parecen ensambladas apresuradamente, y las tácticas y técnicas generales podrían sugerir inicialmente una actividad poco sofisticada», dijo Censys. «Específicamente, el operador identifica instancias expuestas de ComfyUI que ejecutan nodos personalizados, determina cuáles de esos nodos exponen una funcionalidad insegura y luego los utiliza como vía para la ejecución remota de código».

«La infraestructura a la que accede el operador respalda aún más la idea de que esta actividad es parte de una campaña más amplia centrada en descubrir y explotar servicios expuestos, seguida del despliegue de herramientas personalizadas para persistencia, escaneo o monetización».

El descubrimiento coincide con la aparición de múltiples campañas de botnets en las últimas semanas.

• Explotación de vulnerabilidades de inyección de comandos en enrutadores n8n (CVE-2025-68613) y Tenda AC1206 (CVE-2025-7544) a agregarlos a una botnet basada en Mirai conocida como Zerobot.
• Explotación de vulnerabilidades en Apache ActiveMQ (CVE-2023-46604), Metabase (CVE-2023-38646) y React Server Components (CVE-2025-55182 también conocido como React2Shell) para entregar Kinsing, un malware persistente utilizado para la minería de criptomonedas y el lanzamiento de ataques de denegación de servicio distribuido (DDoS).
• Explotación de una supuesta vulnerabilidad de día cero en el almacenamiento conectado en red (NAS) de fnOS para atacar sistemas expuestos a Internet e implantarlos con un malware DDoS llamado netdragon. «NetDragon establece una interfaz de puerta trasera HTTP en los dispositivos comprometidos, lo que permite a los atacantes acceder y controlar de forma remota los sistemas infectados», dijo QiAnXin XLab. «Altera el archivo ‘hosts’ para secuestrar los dominios oficiales de actualización del sistema Feiniu NAS, evitando efectivamente que los dispositivos obtengan actualizaciones del sistema y parches de seguridad».
• Ampliación de la lista de exploits de RondoDox a 174 vulnerabilidades diferentes, al tiempo que se cambia la metodología de ataque de un «enfoque directo» a fallas más específicas y recientes que tienen más probabilidades de provocar infecciones.
• Explotación de vulnerabilidades de seguridad conocidas implementar una nueva variante de Condi, un malware de Linux que convierte los dispositivos Linux comprometidos en robots capaces de realizar ataques DDoS. El binario hace referencia a una cadena «QTXBOT», que indica el nombre de la versión bifurcada o el nombre del proyecto interno.
• Ataques de fuerza bruta contra servidores SSH para lanzar un minero XMRig y generar ingresos ilícitos en criptomonedas como parte de una operación activa de criptojacking llamada Mónaco. También se han identificado contraseñas SSH débiles. utilizados como vías de ataque para implementar malware que establece persistencia, mata a los mineros competidores, se conecta a un servidor externo y realiza un escaneo ZMap para propagar el malware en forma de gusano a otros hosts vulnerables.

«La actividad de botnets ha aumentado durante el último año, y Spauhaus observó aumentos del 26 % y del 24 % en los dos períodos de seis meses de enero a junio de 2025 y de julio a diciembre de 2025, respectivamente», Pulsedive dicho.

«Este aumento está asociado con la aparición de bots y nodos en los Estados Unidos. El aumento también se debe a la disponibilidad de código fuente para botnets como Mirai. Las ramas y variantes de Mirai son responsables de algunos de los mayores ataques DDoS por volumen».

El Departamento de Justicia de EE.UU. (DoJ) dicho Un ciudadano ruso ha sido condenado a dos años de prisión por gestionar una botnet que se utilizaba para lanzar ataques de ransomware contra empresas estadounidenses.

Ilya Angelov, de 40 años, de Tolyatti, Rusia, también recibió una multa de 100.000 dólares. Se dice que Angelov, que utilizaba los alias en línea «milan» y «okart», codirigió un grupo cibercriminal con sede en Rusia conocido como TA551 (también conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra y Shathak) entre 2017 y 2021.

«El grupo de Angelov construyó una red de computadoras comprometidas (una ‘botnet’) mediante la distribución de archivos infectados con malware adjuntos a correos electrónicos no deseados», dijo el Departamento de Justicia. «Angelov y su codirector monetizaron esta botnet vendiendo acceso a computadoras individuales comprometidas (‘bots’)».

Según el memorando de sentenciael grupo de amenazas desarrolló programas para distribuir correo electrónico no deseado y refinó malware para eludir las herramientas de seguridad. Angelov y su codirector reclutaron miembros y supervisaron las diversas actividades. La principal de sus herramientas era una puerta trasera a través de la cual se podía cargar software malicioso en las computadoras de la víctima.

El objetivo principal de los ataques era revender el acceso a otros grupos criminales, que lo aprovecharon para esquemas de extorsión mediante ransomware. Entre agosto de 2018 y diciembre de 2019, TA551 proporcionó el Grupo de ransomware BitPaymer con acceso a su botnet, lo que permitió a la banda de delitos electrónicos infectar a 72 corporaciones estadounidenses. Esto resultó en más de 14,17 millones de dólares en pagos de extorsión.

Los operadores del malware IcedID también pagaron al grupo de Angelov más de un millón de dólares para obtener acceso a la botnet a finales de 2019 o principios de 2020 y distribuir ransomware, aunque actualmente se desconoce el alcance del daño. Se sospecha que esta asociación floreció después de la disrupción del grupo BitPaymer. La colaboración duró aproximadamente hasta agosto de 2021, según la Oficina Federal de Investigaciones de EE. UU. (FBI).

En noviembre de 2021, Cybereason reveló que los operadores del troyano TrickBot se estaban asociando con TA551 para distribuir Conti Ransomware. Ese mismo mes, el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) también revelado que la banda de ransomware Lockean estaba utilizando los servicios de distribución ofrecidos por TA551 luego de la eliminación de la botnet Emotet por parte de las fuerzas del orden a principios de 2021.

«Los ciberdelincuentes extranjeros como este acusado apuntan a ciudadanos y corporaciones estadounidenses», dijo el fiscal federal Jerome F. Gorgon Jr. en un comunicado. «Sus métodos se vuelven más sofisticados. Pero su motivo sigue siendo el mismo: estafarnos y dañarnos».

El acontecimiento se produce un día después de que el Departamento de Justicia anunciara que otro ciudadano ruso, Aleksei Olegovich Volkov (también conocido como «chubaka.kor» y «nets»), de 26 años, fue sentenciado a casi 7 años de prisión después de declararse culpable de actuar como intermediario de acceso inicial (IAB) para ataques de ransomware Yanluowang dirigidos a ocho empresas en los EE. UU. entre julio de 2021 y noviembre de 2022.

Una operación policial internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado CalcetinesAcompañante que esclavizó a miles de enrutadores residenciales en todo el mundo a una botnet para cometer fraude a gran escala.

«SocksEscort infectó los enrutadores de Internet domésticos y de pequeñas empresas con malware», dijo el Departamento de Justicia de EE. UU. (DoJ) dicho. «El malware permitió a SocksEscort dirigir el tráfico de Internet a través de los enrutadores infectados. SocksEscort vendió este acceso a sus clientes».

CalcetinesEscort («socksescort[.]com») habría ofrecido vender acceso a alrededor de 369.000 direcciones IP diferentes en 163 países desde el verano de 2020, y el servicio enumeraba casi 8.000 enrutadores infectados en febrero de 2026. De estos, 2.500 estaban ubicados en los EE. UU.

En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer «IP residenciales estáticas con ancho de banda ilimitado» y que pueden evitar las listas de bloqueo de spam. Anunciaba más de 35.900 proxies de 102 países, y un conjunto de 30 proxies costaba 15 dólares al mes. Un paquete para 5.000 representantes costaba 200 dólares al mes.

El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan canalizar el tráfico de Internet a través de dispositivos comprometidos sin el conocimiento de la víctima, ofreciéndoles una forma de mezclarse y dificultar la diferenciación del tráfico malicioso de la actividad legítima al ocultar sus verdaderas direcciones IP y ubicaciones.

Algunas de las víctimas que fueron defraudadas como parte de esquemas llevados a cabo utilizando SocksEscort incluyeron un cliente de un intercambio de criptomonedas que vivía en Nueva York y fue defraudado con $1 millón en criptomonedas; una empresa manufacturera en Pensilvania que fue defraudada por 700.000 dólares; y miembros actuales y anteriores del servicio estadounidense con tarjetas MILITARY STAR que fueron defraudados por 100.000 dólares.

En un anuncio coordinado, Europol dijo que el esfuerzo, cuyo nombre en código es Operación Relámpago, involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, los Países Bajos, Rumania y los EE. UU. El ejercicio de interrupción resultó en la eliminación de 34 dominios y 23 servidores ubicados en siete países. Se han congelado un total de 3,5 millones de dólares en criptomonedas.

«Estos dispositivos, principalmente enrutadores residenciales, fueron explotados para facilitar diversas actividades delictivas, incluido ransomware, ataques DDoS y la distribución de material de abuso sexual infantil (CSAM)», Europol dicho. «Los dispositivos comprometidos fueron infectados a través de una vulnerabilidad en los módems residenciales de una marca específica».

«Para acceder al servicio de proxy, los clientes tenían que utilizar una plataforma de pago que permitía comprar el servicio de forma anónima utilizando criptomonedas. Se estima que esta plataforma de pago recibió más de 5 millones de euros de los clientes del servicio de proxy».

SocksEscort funcionaba con un malware conocido como AVrecon, cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se estima que está activo desde al menos mayo de 2021. Se estima que el servicio proxy ha victimizado a 280.000 direcciones IP distintas a partir de principios de 2025.

Además de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon está equipado para establecer un shell remoto para un servidor controlado por un atacante y actuar como un cargador descargando y ejecutando cargas útiles arbitrarias. El malware se dirige a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.

«La gran mayoría de los dispositivos observados infectados con el malware AVrecon son enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) infectados mediante vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos», dijo la Oficina Federal de Investigaciones de EE. UU. dicho en una alerta. «El malware AVrecon está escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM».

Para lograr persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualización incorporado del dispositivo para mostrar una imagen de firmware personalizada que contiene una copia de AVrecon, que está codificada para ejecutarla al iniciar el dispositivo. El firmware modificado también desactiva las funciones de actualización y actualización del dispositivo, lo que provoca que los dispositivos queden infectados permanentemente.

«Esta botnet representaba una amenaza significativa, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta únicamente por dispositivos periféricos comprometidos», dijo el equipo de Black Lotus Labs. dicho. «Durante los últimos años, SocksEscort mantuvo un tamaño promedio de aproximadamente 20.000 víctimas distintas por semana, con comunicaciones enrutadas a través de un promedio de 15 nodos de comando y control (C2)».

Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap esto se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para enviar tráfico malicioso.

El malware, detectado por primera vez en estado salvaje en agosto de 2025, se ha expandido a más de 14.000 dispositivos infectados, con más del 60% de las víctimas ubicadas en los EE. UU., según el equipo de Black Lotus Labs en Lumen. Se ha detectado un número menor de infecciones en Taiwán, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y España.

«KadNap emplea una versión personalizada del Kademlia Tabla hash distribuida (DHT), que se utiliza para ocultar la dirección IP de su infraestructura dentro de un sistema peer-to-peer para evadir el monitoreo de red tradicional», la empresa de ciberseguridad dicho en un informe compartido con The Hacker News.

Los nodos comprometidos en la red aprovechan el protocolo DHT para localizar y conectarse con un servidor de comando y control (C2), haciéndolo resistente a los esfuerzos de detección e interrupción.

Una vez que los dispositivos se ven comprometidos con éxito, son comercializados por un servicio proxy llamado Doppelgänger («doppelganger[.]shop»), que se considera un cambio de marca de Faceless, otro servicio proxy asociado con el malware TheMoon. Doppelgänger, según su sitio web, afirma ofrecer servidores proxy residentes en más de 50 países que brindan «100% de anonimato». Se dice que el servicio se lanzó en mayo/junio de 2025.

A pesar del enfoque en los enrutadores Asus, se descubrió que los operadores de KadNap implementan el malware contra un conjunto variado de dispositivos de red perimetrales.

El elemento central del ataque es un script de shell («aic.sh») que se descarga del servidor C2 («212.104.141[.]140»), que es responsable de iniciar el proceso de reclutamiento de la víctima en la red P2P. El archivo crea un trabajo cron para recuperar el script de shell del servidor cada 55 minutos, cambiarle el nombre a «.asusrouter» y ejecutarlo.

Una vez que se establece la persistencia, el script extrae un archivo ELF malicioso, le cambia el nombre a «kad» y lo ejecuta. Esto, a su vez, conduce al despliegue de KadNap. El malware es capaz de apuntar a dispositivos que ejecutan procesadores ARM y MIPS.

KadNap también está diseñado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora actual y almacenarla junto con el tiempo de actividad del host. Esta información sirve como base para crear un hash que se utiliza para localizar a otros pares en la red descentralizada para recibir comandos o descargar archivos adicionales.

Los archivos, fwr.sh y /tmp/.sose, contienen funciones para cerrar el puerto 22, el puerto TCP estándar para Secure Shell (SSH), en el dispositivo infectado y extraer una lista de combinaciones de dirección IP:puerto C2 para conectarse.

«En resumen, el uso innovador del protocolo DHT permite al malware establecer canales de comunicación robustos que son difíciles de interrumpir, ocultándose en el ruido del tráfico legítimo entre pares», dijo Lumen.

Un análisis más detallado ha determinado que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura se está categorizando según el tipo y modelo de dispositivo.

El equipo de Black Lotus Labs le dijo a The Hacker News que los robots de Doppelgänger están siendo abusados ​​por actores de amenazas en la naturaleza. «Ha habido un problema ya que estos Asus (y otros dispositivos) a veces también están coinfectados con otro malware: es complicado decir quién es exactamente responsable de una actividad maliciosa específica», dijo la compañía.

Se recomienda a los usuarios que ejecutan enrutadores SOHO que mantengan sus dispositivos actualizados, los reinicien periódicamente, cambien las contraseñas predeterminadas, protejan las interfaces de administración y reemplacen los modelos que están al final de su vida útil y ya no son compatibles.

«La botnet KadNap se destaca entre otras que admiten servidores proxy anónimos en el uso de una red peer-to-peer para el control descentralizado», concluyó Lumen. «Su intención es clara: evitar la detección y dificultar la protección de los defensores».

Surge una nueva amenaza para Linux ClipXDaemon

La divulgación se produce cuando Cyble detalló una nueva amenaza para Linux denominada ClipXDaemon que está diseñada para atacar a los usuarios de criptomonedas interceptando y alterando direcciones de billetera copiadas. El malware clipper, entregado a través del marco de post-explotación de Linux llamado ShadowHS, ha sido descrito como un secuestrador autónomo de portapapeles de criptomonedas dirigido a entornos Linux X11.

Organizado íntegramente en la memoria, el malware emplea técnicas sigilosas, como el enmascaramiento de procesos y wayland evitar sesiones, mientras simultáneamente monitorea el portapapeles cada 200 milisegundos y sustituye direcciones de criptomonedas con billeteras controladas por atacantes. Es capaz de apuntar a carteras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.

La decisión de evitar la ejecución en sesiones de Wayland es deliberada, ya que la arquitectura de seguridad del protocolo del servidor de visualización coloca controles adicionales, como requerir interacción explícita del usuario, antes de que las aplicaciones puedan acceder al contenido del portapapeles. Al deshabilitarse en tales escenarios, el malware tiene como objetivo eliminar el ruido y evitar fallas en el tiempo de ejecución.

«ClipXDaemon se diferencia fundamentalmente del malware tradicional de Linux. No contiene lógica de comando y control (C2), no realiza balizas y no requiere tareas remotas», dijo la compañía. dicho. «En cambio, monetiza a las víctimas directamente secuestrando direcciones de billeteras de criptomonedas copiadas en sesiones X11 y reemplazándolas en tiempo real con direcciones controladas por el atacante».

Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Aeternum C2 que utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo resistente a los esfuerzos de eliminación.

«En lugar de depender de servidores o dominios tradicionales para el comando y control, Aeternum almacena sus instrucciones en la cadena de bloques pública Polygon», Qrator Labs dicho en un informe compartido con The Hacker News.

«Esta red es ampliamente utilizada por aplicaciones descentralizadas, incluido Polymarket, el mercado de predicción más grande del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente permanente y resistente a los métodos tradicionales de eliminación».

Esta no es la primera vez que se descubre que botnets dependen de blockchain para C2. En 2021, Google dijo que tomó medidas para interrumpir una botnet conocida como Glupteba que utiliza la cadena de bloques de Bitcoin como mecanismo C2 de respaldo para recuperar la dirección real del servidor C2.

Los detalles de Aeternum C2 surgieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado LenAI estaba anunciando el malware en foros clandestinos por 200 dólares que otorga a los clientes acceso a un panel y una compilación configurada. Por 4.000 dólares, supuestamente a los clientes se les prometió todo el código base de C++ junto con las actualizaciones.

El malware, un cargador nativo de C++ disponible en versiones x32 y x64, funciona escribiendo comandos que se emiten al host infectado en contratos inteligentes en la cadena de bloques Polygon. Luego, los bots leen esos comandos consultando puntos finales públicos de llamada a procedimiento remoto (RPC).

Todo esto se gestiona a través del panel web, desde donde los clientes pueden seleccionar un contrato inteligente, elegir un tipo de comando, especificar una URL de carga útil y actualizarla. El comando, que puede apuntar a todos los puntos finales o a uno específico, se escribe en la cadena de bloques como una transacción, después de lo cual queda disponible para todos los dispositivos comprometidos que estén sondeando la red.

«Una vez que se confirma un comando, nadie más que el titular de la billetera no puede modificarlo ni eliminarlo», dijo Qrator Labs. «El operador puede gestionar múltiples contratos inteligentes simultáneamente, cada uno de los cuales potencialmente cumple una carga útil o función diferente, como un clipper, un ladrón, un RAT o un minero».

Según un investigación en dos partes publicado por Ctrl Alt Intel A principios de este mes, el panel C2 se implementó como una aplicación web Next.js que permite a los operadores implementar contratos inteligentes en la cadena de bloques Polygon. Los contratos inteligentes contienen una función que, cuando el malware la llama a través de Polygon RPC, hace que devuelva el comando cifrado que posteriormente se decodifica y se ejecuta en las máquinas víctimas.

Además de utilizar blockchain para convertirla en una botnet resistente a la eliminación, el malware incluye varias funciones antianálisis para extender la vida útil de las infecciones. Esto incluye comprobaciones para detectar entornos virtualizados, además de equipar a los clientes con la capacidad de escanear sus compilaciones a través de Kleenscan para garantizar que no sean marcados por los proveedores de antivirus.

«Los costes operativos son insignificantes: 1 dólar en MATIC, el token nativo de la red Polygon, es suficiente para entre 100 y 150 transacciones de comando», dijo el proveedor checo de ciberseguridad. «El operador no necesita alquilar servidores, registrar dominios ni mantener ninguna infraestructura más allá de una billetera criptográfica y una copia local del panel».

El actor de amenazas ha desde entonces intentó vender todo el kit de herramientas por un precio inicial de 10.000 dólares, alegando falta de tiempo para recibir apoyo y su participación en otro proyecto. «Venderé todo el proyecto a una persona con permiso para reventa y uso comercial, con todos los ‘derechos’», dijo LenAI. «También daré consejos/notas útiles sobre el desarrollo que no tuve tiempo de implementar».

Vale la pena señalar que LenAI también está detrás de una segunda solución de crimeware llamada ErrTraffic que permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensación de urgencia y engañar a los usuarios para que sigan instrucciones maliciosas.

La divulgación se produce cuando Infrawatch publicó detalles de un servicio clandestino que implementa hardware de computadoras portátiles dedicado en hogares estadounidenses para incorporar los dispositivos a una red proxy residencial llamada DSLRoot que redirige el tráfico malicioso a través de ellos.

El hardware está diseñado para ejecutar un programa basado en Delphi llamado DSLPylon que está equipado con capacidades para enumerar módems compatibles en la red, así como para controlar de forma remota el equipo de red residencial y los dispositivos Android a través de una integración de Android Debug Bridge (ADB).

«El análisis de atribución identifica al operador como un ciudadano bielorruso con presencia residencial en Minsk y Moscú», Infrawatch dicho. «Se estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en más de 20 estados de EE. UU.».

El operador ha sido identificado como Andrei Holas (también conocido como Andre Holas y Andrei Golas), con el servicio promocionado en BlackHatWorld por un usuario que opera bajo el alias GlobalSolutions, afirmando ofrecer proxies ADSL residenciales físicos a la venta por $190 por mes para acceso sin restricciones. También está disponible por $990 por seis meses y $1,750 por suscripciones anuales.

«El software personalizado de DSLRoot proporciona gestión remota automatizada de módems de consumo (ARRIS/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a través de ADB, lo que permite la rotación de direcciones IP y el control de la conectividad», señaló la empresa. «La red opera sin autenticación, lo que permite a los clientes enrutar el tráfico de forma anónima a través de IP residenciales de EE. UU.».