{"id":204,"date":"2026-03-10T17:21:12","date_gmt":"2026-03-10T17:21:12","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/el-malware-kadnap-infecta-mas-de-14-000-dispositivos-perimetrales-para-impulsar-la-botnet-proxy-sigilosa-cyberdefensa-mx\/"},"modified":"2026-03-10T17:21:12","modified_gmt":"2026-03-10T17:21:12","slug":"el-malware-kadnap-infecta-mas-de-14-000-dispositivos-perimetrales-para-impulsar-la-botnet-proxy-sigilosa-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/el-malware-kadnap-infecta-mas-de-14-000-dispositivos-perimetrales-para-impulsar-la-botnet-proxy-sigilosa-cyberdefensa-mx\/","title":{"rendered":"El malware KadNap infecta m\u00e1s de 14.000 dispositivos perimetrales para impulsar la botnet proxy sigilosa \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap<\/strong> esto se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para enviar tr\u00e1fico malicioso.<\/p>\n

El malware, detectado por primera vez en estado salvaje en agosto de 2025, se ha expandido a m\u00e1s de 14.000 dispositivos infectados, con m\u00e1s del 60% de las v\u00edctimas ubicadas en los EE. UU., seg\u00fan el equipo de Black Lotus Labs en Lumen. Se ha detectado un n\u00famero menor de infecciones en Taiw\u00e1n, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y Espa\u00f1a.<\/p>\n

\u00abKadNap emplea una versi\u00f3n personalizada del Kademlia<\/a> Tabla hash distribuida (DHT<\/a>), que se utiliza para ocultar la direcci\u00f3n IP de su infraestructura dentro de un sistema peer-to-peer para evadir el monitoreo de red tradicional\u00bb, la empresa de ciberseguridad dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

Los nodos comprometidos en la red aprovechan el protocolo DHT para localizar y conectarse con un servidor de comando y control (C2), haci\u00e9ndolo resistente a los esfuerzos de detecci\u00f3n e interrupci\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Una vez que los dispositivos se ven comprometidos con \u00e9xito, son comercializados por un servicio proxy llamado Doppelg\u00e4nger (\u00abdoppelganger[.]shop\u00bb), que se considera un cambio de marca de Faceless, otro servicio proxy asociado con el malware TheMoon. Doppelg\u00e4nger, seg\u00fan su sitio web, afirma ofrecer servidores proxy residentes en m\u00e1s de 50 pa\u00edses que brindan \u00ab100% de anonimato\u00bb. Se dice que el servicio se lanz\u00f3 en mayo\/junio de 2025. <\/p>\n

A pesar del enfoque en los enrutadores Asus, se descubri\u00f3 que los operadores de KadNap implementan el malware contra un conjunto variado de dispositivos de red perimetrales.<\/p>\n

El elemento central del ataque es un script de shell (\u00abaic.sh\u00bb) que se descarga del servidor C2 (\u00ab212.104.141[.]140\u00bb), que es responsable de iniciar el proceso de reclutamiento de la v\u00edctima en la red P2P. El archivo crea un trabajo cron para recuperar el script de shell del servidor cada 55 minutos, cambiarle el nombre a \u00ab.asusrouter\u00bb y ejecutarlo.<\/p>\n

Una vez que se establece la persistencia, el script extrae un archivo ELF malicioso, le cambia el nombre a \u00abkad\u00bb y lo ejecuta. Esto, a su vez, conduce al despliegue de KadNap. El malware es capaz de apuntar a dispositivos que ejecutan procesadores ARM y MIPS.<\/p>\n

KadNap tambi\u00e9n est\u00e1 dise\u00f1ado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora actual y almacenarla junto con el tiempo de actividad del host. Esta informaci\u00f3n sirve como base para crear un hash que se utiliza para localizar a otros pares en la red descentralizada para recibir comandos o descargar archivos adicionales.<\/p>\n

Los archivos, fwr.sh y \/tmp\/.sose, contienen funciones para cerrar el puerto 22, el puerto TCP est\u00e1ndar para Secure Shell (SSH), en el dispositivo infectado y extraer una lista de combinaciones de direcci\u00f3n IP:puerto C2 para conectarse.<\/p>\n

\u00abEn resumen, el uso innovador del protocolo DHT permite al malware establecer canales de comunicaci\u00f3n robustos que son dif\u00edciles de interrumpir, ocult\u00e1ndose en el ruido del tr\u00e1fico leg\u00edtimo entre pares\u00bb, dijo Lumen.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado ha determinado que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura se est\u00e1 categorizando seg\u00fan el tipo y modelo de dispositivo.<\/p>\n

El equipo de Black Lotus Labs le dijo a The Hacker News que los robots de Doppelg\u00e4nger est\u00e1n siendo abusados \u200b\u200bpor actores de amenazas en la naturaleza. \u00abHa habido un problema ya que estos Asus (y otros dispositivos) a veces tambi\u00e9n est\u00e1n coinfectados con otro malware: es complicado decir qui\u00e9n es exactamente responsable de una actividad maliciosa espec\u00edfica\u00bb, dijo la compa\u00f1\u00eda.<\/p>\n

Se recomienda a los usuarios que ejecutan enrutadores SOHO que mantengan sus dispositivos actualizados, los reinicien peri\u00f3dicamente, cambien las contrase\u00f1as predeterminadas, protejan las interfaces de administraci\u00f3n y reemplacen los modelos que est\u00e1n al final de su vida \u00fatil y ya no son compatibles.<\/p>\n

\u00abLa botnet KadNap se destaca entre otras que admiten servidores proxy an\u00f3nimos en el uso de una red peer-to-peer para el control descentralizado\u00bb, concluy\u00f3 Lumen. \u00abSu intenci\u00f3n es clara: evitar la detecci\u00f3n y dificultar la protecci\u00f3n de los defensores\u00bb.<\/p>\n

Surge una nueva amenaza para Linux ClipXDaemon<\/h3>\n

La divulgaci\u00f3n se produce cuando Cyble detall\u00f3 una nueva amenaza para Linux denominada ClipXDaemon que est\u00e1 dise\u00f1ada para atacar a los usuarios de criptomonedas interceptando y alterando direcciones de billetera copiadas. El malware clipper, entregado a trav\u00e9s del marco de post-explotaci\u00f3n de Linux llamado ShadowHS, ha sido descrito como un secuestrador aut\u00f3nomo de portapapeles de criptomonedas dirigido a entornos Linux X11.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Organizado \u00edntegramente en la memoria, el malware emplea t\u00e9cnicas sigilosas, como el enmascaramiento de procesos y wayland<\/a> evitar sesiones, mientras simult\u00e1neamente monitorea el portapapeles cada 200 milisegundos y sustituye direcciones de criptomonedas con billeteras controladas por atacantes. Es capaz de apuntar a carteras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.<\/p>\n

La decisi\u00f3n de evitar la ejecuci\u00f3n en sesiones de Wayland es deliberada, ya que la arquitectura de seguridad del protocolo del servidor de visualizaci\u00f3n coloca controles adicionales, como requerir interacci\u00f3n expl\u00edcita del usuario, antes de que las aplicaciones puedan acceder al contenido del portapapeles. Al deshabilitarse en tales escenarios, el malware tiene como objetivo eliminar el ruido y evitar fallas en el tiempo de ejecuci\u00f3n.<\/p>\n

\u00abClipXDaemon se diferencia fundamentalmente del malware tradicional de Linux. No contiene l\u00f3gica de comando y control (C2), no realiza balizas y no requiere tareas remotas\u00bb, dijo la compa\u00f1\u00eda. dicho<\/a>. \u00abEn cambio, monetiza a las v\u00edctimas directamente secuestrando direcciones de billeteras de criptomonedas copiadas en sesiones X11 y reemplaz\u00e1ndolas en tiempo real con direcciones controladas por el atacante\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap esto se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para enviar tr\u00e1fico malicioso. El malware, detectado por primera vez en estado salvaje en agosto de 2025, se ha expandido a m\u00e1s de 14.000 dispositivos infectados, con m\u00e1s del 60% […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[173,24,694,696,73,693,60,98,36,695,88,697],"class_list":["post-204","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-botnet","tag-cyberdefensa-mx","tag-dispositivos","tag-impulsar","tag-infecta","tag-kadnap","tag-malware","tag-mas","tag-para","tag-perimetrales","tag-proxy","tag-sigilosa"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=204"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/204\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}