El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves la interrupción de la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT) como AISURU, Kimwolf, JackSkid y Mossad como parte de una operación policial autorizada por el tribunal.
En el esfuerzo también las autoridades de Canadá y Alemania apuntaron a los operadores detrás de estas botnets, con una serie de empresas del sector privado, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab ayudando en los esfuerzos de investigación.
«Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo», dijo el Departamento de Justicia. «Algunos de estos ataques midieron aproximadamente 30 Terabits por segundo, que fueron ataques sin precedentes».
En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. Hacia finales del año pasado, también se estima que la botnet participó en ataques DDoS hipervolumétricos que tenían un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).
El periodista de seguridad independiente Brian Krebs también rastreó al administrador de Kimwolf hasta Jacob Butler (alias Dort), de 23 años, de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la personalidad de Dort desde 2021 y afirmó que alguien se está haciendo pasar por él después de comprometer su antigua cuenta.
Butler también dijo que «la mayor parte del tiempo se queda en casa y ayuda a su madre en las tareas del hogar porque lucha contra el autismo y la interacción social». Según Krebs, el otro principal sospechoso es un joven de 15 años que reside en Alemania. No se han anunciado arrestos.
La botnet ha reclutado a más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android de otra marca comprometidos. En total, se estima que las cuatro botnets han infectado nada menos que 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o enrutadores Wi-Fi, de los cuales cientos de miles se encuentran en EE.UU.
«Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar dispositivos que tradicionalmente están ‘protegidos’ del resto de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets», dijo el Departamento de Justicia. «Los operadores utilizaron luego un modelo de ‘cibercrimen como servicio’ para vender el acceso a los dispositivos infectados a otros ciberdelincuentes».
Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales alegan que las cuatro variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS.
- AISURU – >200.000 comandos de ataque DDoS
- Kimwolf: >25.000 comandos de ataque DDoS
- JackSkid: >90.000 comandos de ataque DDoS
- Mossad: >1.000 comandos de ataque DDoS
«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf explotó un nuevo vector de ataque: las redes proxy residenciales», dijo Tom Scholl, vicepresidente/ingeniero distinguido de AWS, en una publicación compartida en LinkedIn.
«Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, incluidas cajas de TV y otros dispositivos IoT, la botnet obtuvo acceso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos».
Lumen Black Lotus Labs, en un comunicado compartido con The Hacker News, dijo que ha enrutado nulo casi 1.000 de los servidores C2 utilizados por AISURU y luego por Kimwolf. Según los datos recopilados por la empresa de ciberseguridad, JackSkid tuvo un promedio de más de 150.000 víctimas diarias en las dos primeras semanas de marzo de 2026, llegando a 250.000 el 8 de marzo. El Mossad tuvo un promedio de más de 100.000 víctimas diarias durante el mismo período.
«El problema es que hay tantos dispositivos que son vulnerables que sucedieron dos cosas: primero, Kimwolf demostró ser increíblemente resistente», dijo Ryan English, investigador de seguridad en Black Lotus Labs de Lumen. «El segundo problema fue que múltiples botnets nuevos comenzaron a emular la técnica de utilizar la vulnerabilidad para crecer mucho y muy rápido».
Akamai dijo que las botnets hipervolumétricas generaron ataques que superaban los 30 Tbps, 14 mil millones de paquetes por segundo y 300 Mrps, y agregó que los ciberdelincuentes aprovecharon estas botnets para lanzar cientos de miles de ataques y exigir pagos de extorsión a las víctimas en algunos casos.
«Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso abrumar los servicios de mitigación basados en la nube de alta capacidad», dijo la compañía de infraestructura web.