Las autoridades confiscaron la infraestructura que impulsaba cuatro botnets que Secuestró un total de tres millones de dispositivos. y lanzaron más de 300.000 ataques DDoS en conjunto, dijo el jueves el Departamento de Justicia.

Las botnets (Aisuru, Kimwolf, JackSkid y Mossad) permitieron a los operadores vender acceso a los dispositivos infectados para diversos delitos cibernéticos. Las consecuencias abarcaron miles de ataques, incluidos algunos que exigían pagos de extorsión a las víctimas, dijeron los funcionarios.

La operación coordinada globalmente, ayudada por acciones policiales dirigidas a los operadores de botnets en Canadá y Alemania, interrumpió la infraestructura de comando y control de las cuatro botnets. Dos de las botnets establecieron récords antes de su eliminación, atrayendo la atención generalizada de investigadores y proveedores de seguridad.

La botnet Kimwolf, una variante de Android de Aisuru, se propagó como la pólvora después de que sus operadores descubrieron cómo abusar de las redes de proxy residenciales para el control local, según Sythient. Finalmente se hizo cargo más de 2 millones Dispositivos Android TV para enero. En septiembre, justo cuando Kimwolf se estaba formando, Cloudflare registró que la botnet Aisuru alcanzó un récord. Ataque DDoS de 29,7 terabits por segundo que duró 69 segundos.

En última instancia, los funcionarios atribuyeron aproximadamente 200.000 ataques DDoS a Aisuru, 90.000 a JackSkid, 25.000 a Kimwolf y alrededor de 1.000 comandos de ataque DDoS a la botnet Mossad. Sin embargo, los ataques DDoS de atacantes con motivaciones financieras suelen ser una distracción o una mala dirección.

«A menudo, un ataque DDoS es simplemente publicidad del tamaño de la botnet de un operador», dijo a CyberScoop Zach Edwards, investigador de amenazas de Infoblox. Los operadores de botnet obtienen dinero alquilando estos dispositivos controlados a ciberdelincuentes para abuso de cuentas, ataques de restablecimiento de contraseñas, esquemas de fraude publicitario y nodos proxy residenciales, añadió.

Los dispositivos infectados por las cuatro botnets incluyen grabadoras de vídeo digitales, cámaras web, enrutadores Wi-Fi y decodificadores de TV. Cientos de miles de estos dispositivos se encuentran en Estados Unidos, dijeron los fiscales federales.

Las autoridades no nombraron a las personas involucradas ni anunciaron formalmente ningún arresto. Sin embargo, describen la operación en términos casi concluyentes, afirmando que la acción interrumpió la infraestructura de comunicaciones de las botnets (dominios, servidores virtuales y otros sistemas) para evitar una mayor infección y limitar o eliminar la capacidad de las botnets de lanzar futuros ataques.

«Los ciberdelincuentes se infiltran en la infraestructura más allá de las fronteras físicas y el Servicio de Investigación Criminal de Defensa participa en operaciones internacionales para ayudar a salvaguardar la huella global del Departamento», dijo en un comunicado Kenneth DeChellis, agente especial a cargo de la oficina cibernética DCIS del Departamento de Defensa. Algunos de los ataques DDoS atribuidos a estas botnets alcanzaron direcciones IP propiedad de la Red de Información del Departamento de Defensa.

Las botnets a menudo compiten por dispositivos que infectar y oportunidades de escalar. A medida que Kimwolf se extendió y alcanzó esos objetivos, captó un gran interés por parte de investigadores, autoridades y proveedores capaces de ayudar a detenerlo.

Kimwolf fue la botnet DDoS más grande jamás detectada, según Tom Scholl, vicepresidente de Amazon Web Services, que ayudó en la operación. «La escala de esta botnet es asombrosa», dijo en un publicación en LinkedIn.

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets», añadió Scholl. «A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales».

Según este mecanismo, cualquier organización con dispositivos vulnerables conectados a Internet podría, sin saberlo, convertir esos dispositivos en un nodo para una botnet o un punto de apoyo para un ataque dirigido.

“Esto no es sólo un problema que tiene su primo porque compró una caja de TV barata que le prometía canales de televisión gratuitos”, dijo Edwards. Infoblox dijo anteriormente casi el 25% de los clientes tenía al menos un dispositivo terminal en un servicio de proxy residencial objetivo de Kimwolf.

Si bien es intelectualmente interesante cuando una botnet alcanza un tamaño extraordinario, también es un «triste recordatorio de que muchas veces la seguridad pasa a un segundo plano frente a la conveniencia y el costo», dijo Edwards.

«Las botnets están creciendo porque cada vez más personas compran cosas raras conectadas a Internet», añadió. «Nada en este mundo es gratis».

Los desmantelamientos marcan la continuación de una ofensiva constante y continua contra botnets de gran escala, mercados de delitos cibernéticos, malware, ladrones de información y otras herramientas de delitos cibernéticos. Algunas de las redes maliciosas obstaculizadas o que dejaron de funcionar debido a interrupciones y arrestos durante el año pasado incluyen: DanaBot, Rapper Bot, Lumma Stealer, AVCheck y SocksEscort.

Más de 20 empresas y organizaciones ayudaron con la interrupción coordinada, incluidas las fuerzas del orden de los Países Bajos y Europol. Los esfuerzos para detener las botnets continuarán a medida que estas redes maliciosas proliferen en nuevos lugares y de nuevas maneras.

«Vivimos en un tiovivo de dispositivo comprometido: botnet DDOS y aunque muchos de nosotros deseamos que algo pueda ralentizarlo, los desafíos continúan creciendo», dijo Edwards. «Este sigue siendo un mal día para los actores de amenazas graves, y cualquier día como ese es algo que todos deberíamos celebrar».

El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves la interrupción de la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT) como AISURU, Kimwolf, JackSkidy el Mossad como parte de una operación policial autorizada por el tribunal.

En el esfuerzo también las autoridades de Canadá y Alemania apuntaron a los operadores detrás de estas botnets, con una serie de empresas del sector privado, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab ayudando en los esfuerzos de investigación.

«Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo», dijo el Departamento de Justicia. dicho. «Algunos de estos ataques midieron aproximadamente 30 Terabits por segundo, que fueron ataques sin precedentes».

En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. Hacia finales del año pasado, también se estima que la botnet participó en ataques DDoS hipervolumétricos que tenían un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).

El periodista independiente de seguridad Brian Krebs también rastreado el administrador de Kimwolf de Jacob Butler (también conocido como Dort), de 23 años, de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la personalidad de Dort desde 2021 y afirmó que alguien se está haciendo pasar por él después de comprometer su antigua cuenta.

Butler también dijo que «la mayor parte del tiempo se queda en casa y ayuda a su madre en las tareas del hogar porque lucha contra el autismo y la interacción social». De acuerdo a krebsel otro principal sospechoso es un joven de 15 años que reside en Alemania. No se han anunciado arrestos.

La botnet ha reclutado a más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android de otra marca comprometidos. En total, se estima que las cuatro botnets han infectado nada menos que 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o enrutadores Wi-Fi, de los cuales cientos de miles se encuentran en EE.UU.

«Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar dispositivos que tradicionalmente están ‘protegidos’ del resto de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets», dijo el Departamento de Justicia. «Los operadores utilizaron luego un modelo de ‘cibercrimen como servicio’ para vender el acceso a los dispositivos infectados a otros ciberdelincuentes».

Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales alegan que las cuatro variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS.

• AISURU – >200.000 comandos de ataque DDoS
• Kimwolf: >25.000 comandos de ataque DDoS
• JackSkid: >90.000 comandos de ataque DDoS
• Mossad: >1.000 comandos de ataque DDoS

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales», dijo Tom Scholl, vicepresidente e ingeniero distinguido de AWS, dicho en una publicación compartida en LinkedIn.

«Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, incluidos decodificadores de TV y otros dispositivos IoT, la botnet obtuvo acceso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos».

Akamai dijo que las botnets hipervolumétricas generaron ataques que superaban los 30 Tbps, 14 mil millones de paquetes por segundo y 300 Mrps, y agregó que los ciberdelincuentes aprovecharon estas botnets para lanzar cientos de miles de ataques y exigir pagos de extorsión a las víctimas en algunos casos.

«Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso abrumar los servicios de mitigación basados ​​en la nube de alta capacidad», dijo la empresa de infraestructura web. dicho.