KadNap: Malware que amenaza más de 14,000 dispositivos de red
Publicado el
Introducción
El malware KadNap ha surgido como una amenaza significativa, infectando a más de 14,000 dispositivos de red, principalmente routers Asus. Este software malicioso, detectado por primera vez en agosto de 2025, ha sido objeto de estudio por parte del equipo de Black Lotus Labs de Lumen, que ha observado un impacto notable en Estados Unidos, donde más del 60% de los dispositivos comprometidos se encuentran.
Propósito y Funcionalidad
KadNap se utiliza para crear una botnet que permite el proxy de tráfico malicioso. Utiliza una versión personalizada del protocolo Kademlia DHT, diseñado para ocultar direcciones IP dentro de un sistema peer-to-peer. Esta técnica facilita la evasión de la detección por parte de sistemas de monitoreo de red tradicionales. Los nodos comprometidos se conectan a un servidor de comando y control (C2), lo que les permite recibir instrucciones y descargar archivos adicionales sin ser detectados.
Una vez que un dispositivo es infectado, el malware se comercializa a través de un servicio proxy conocido como Doppelgänger, que, según se informa, es una rebranding de otro servicio de proxy llamado Faceless, vinculado al malware TheMoon. Doppelgänger promete anonimato total y ofrece proxies en más de 50 países desde su lanzamiento en mayo/junio de 2025.
Mecanismo de Infección
El ataque de KadNap se centra en un script de shell llamado aic.sh, que se descarga desde el servidor C2. Este script crea un cron job que se ejecuta cada 55 minutos, descargando y ejecutando el script malicioso. Una vez establecida la persistencia, el script descarga un archivo ELF malicioso, renombrado como kad, que inicia la operación del malware. KadNap tiene la capacidad de atacar dispositivos con procesadores ARM y MIPS.
Además, el malware se conecta a un servidor de Network Time Protocol (NTP) para obtener la hora actual, que se utiliza para generar un hash que ayuda a localizar otros pares en la red descentralizada. Entre los archivos maliciosos descargados se encuentran fwr.sh y /tmp/.sose, que se encargan de cerrar el puerto 22, el puerto TCP estándar para SSH, y obtener una lista de direcciones IP de los servidores C2.
Resiliencia y Detección
La implementación del protocolo DHT por parte de KadNap permite mantener canales de comunicación robustos, dificultando su interrupción. No todos los dispositivos comprometidos se comunican con cada servidor C2, lo que sugiere que la infraestructura está segmentada por tipo de dispositivo y modelo. Esto complica la identificación de las actividades maliciosas y los actores detrás de ellas.
Recomendaciones de Seguridad
Los investigadores advierten a los usuarios de routers SOHO que mantengan sus dispositivos actualizados, reiniciándolos regularmente, cambiando las contraseñas predeterminadas y asegurando las interfaces de gestión. También se recomienda reemplazar modelos que han llegado al final de su vida útil y que ya no reciben soporte. La botnet de KadNap se destaca por su uso innovador de una red peer-to-peer, lo que complica la detección y la defensa contra este tipo de amenazas.
Conclusiones
La proliferación de malware como KadNap resalta la importancia de la ciberseguridad en dispositivos de red, especialmente en un contexto donde los ataques a infraestructuras críticas son cada vez más comunes. La utilización de técnicas avanzadas para ocultar la actividad maliciosa exige una respuesta proactiva por parte de los usuarios y administradores de sistemas.