Investigadores de Black Lotus Labs han identificado una botnet que infecta alrededor de 14.000 routers diarios, principalmente modelos Asus en EE. UU., utilizando tecnología peer-to-peer avanzada para evadir la detección. El malware, conocido como KadNap, convierte estos dispositivos en proxies para actividades cibercriminales. Se aconseja a los usuarios infectados restablecer de fábrica sus routers y aplicar actualizaciones de firmware para eliminar la amenaza.
La botnet KadNap, descubierta por Black Lotus Labs en agosto, ha crecido hasta infectar un promedio de 14.000 routers y dispositivos de red por día a partir de marzo de 2026, un aumento desde las 10.000 infecciones en el momento de la detección inicial. La mayoría de los dispositivos comprometidos son routers Asus, ubicados principalmente en EE. UU., con grupos más pequeños en Taiwán, Hong Kong y Rusia. Según Chris Formosa, investigador de Black Lotus Labs de Lumen, el malware explota vulnerabilidades sin parches en estos dispositivos, sin depender de exploits de día cero. ¿Qué distingue a KadNap es su uso de una estructura de red peer-to-peer basada en Kademlia, un sistema de tabla de hash distribuida (DHT) popularizado originalmente en tecnologías como BitTorrent. Este diseño descentraliza el control, ocultando las direcciones IP de los servidores de comando y control y haciendo que la botnet sea altamente resistente a los métodos tradicionales de desmantelamiento. «La botnet KadNap destaca entre otras que soportan proxies anónimos por su uso de una red peer-to-peer para control descentralizado», escribieron Formosa y el investigador compañero Steve Rudd. «Su intención es clara: evitar la detección y dificultar la protección para los defensores.» En operación, KadNap funciona teniendo nodos que consultan a otros usando una frase contraseña para localizar la infraestructura de control, recibiendo eventualmente archivos con direcciones de comando y control. Los dispositivos infectados sirven como proxies para Doppelganger, un servicio basado en tarifas que enruta el tráfico de clientes a través de conexiones de internet residenciales para habilitar acceso anónimo a sitios restringidos. Black Lotus Labs ha desarrollado métodos para bloquear el tráfico a la infraestructura de control de la botnet y está compartiendo indicadores de compromiso, como direcciones IP específicas y hashes de archivos, a través de feeds públicos. Los usuarios que sospechen de infección pueden verificar los logs de dispositivos contra estos indicadores. Para desinfectar, los propietarios deben realizar un restablecimiento de fábrica —reiniciar solo no es suficiente, ya que el malware persiste mediante un script de shell— y asegurar que el firmware esté actualizado, las contraseñas sean fuertes y el acceso remoto esté desactivado cuando no sea necesario.