Los investigadores de ciberseguridad han advertido sobre una botnet en expansión activa denominada tsundere eso está dirigido a usuarios de Windows.
Activa desde mediados de 2025, la amenaza está diseñada para ejecutar código JavaScript arbitrario recuperado de un servidor de comando y control (C2), dijo el investigador de Kaspersky Lisandro Ubiedo en un análisis publicado hoy.
Actualmente no hay detalles sobre cómo se propaga el malware botnet; sin embargo, en al menos un caso, se dice que los actores de amenazas detrás de la operación aprovecharon una herramienta legítima de administración y monitoreo remoto (RMM) como conducto para descargar un archivo de instalación MSI desde un sitio comprometido.
Los nombres dados a los artefactos de malware (Valorant, r6x (Rainbow Six Siege X) y cs2 (Counter-Strike 2)) también sugieren que el implante probablemente se esté difundiendo utilizando señuelos para juegos. Es posible que el objetivo sean usuarios que busquen versiones pirateadas de estos juegos.
Independientemente del método utilizado, el instalador MSI falso está diseñado para instalar Node.js e iniciar un script de carga que es responsable de descifrar y ejecutar la carga útil principal relacionada con la botnet. También prepara el entorno descargando tres bibliotecas legítimas, a saber, ws, ethers y pm2, mediante el comando «npm install».
«El paquete pm2 se instala para garantizar que el bot Tsundere permanezca activo y se utilice para iniciar el bot», explicó Ubiedo. «Además, pm2 ayuda a lograr persistencia en el sistema escribiendo en el registro y configurándose para reiniciar el proceso al iniciar sesión».
El análisis de Kaspersky del panel C2 ha revelado que el malware también se propaga en forma de script de PowerShell, que realiza una secuencia similar de acciones al implementar Node.js en el host comprometido y descargar ws y ethers como dependencias.
Si bien el infectador de PowerShell no utiliza pm2, lleva a cabo las mismas acciones observadas en el instalador de MSI al crear un valor de clave de registro que garantiza que el bot se ejecute en cada inicio de sesión generando una nueva instancia de sí mismo.
La botnet Tsundere utiliza la cadena de bloques Ethereum para obtener detalles del servidor WebSocket C2 (por ejemplo, ws://193.24.123(.)68:3011 o ws://185.28.119(.)179:1234), creando un mecanismo resistente que permite a los atacantes rotar la infraestructura simplemente empleando un contrato inteligente. El contrato fue creado el 23 de septiembre de 2024 y ha tenido 26 transacciones hasta la fecha.
Una vez que se recupera la dirección C2, verifica que sea una URL WebSocket válida y luego procede a establecer una conexión WebSocket con la dirección específica y recibe el código JavaScript enviado por el servidor. Kaspersky dijo que no observó ningún comando de seguimiento del servidor durante el período de observación.
«La capacidad de evaluar código hace que el bot Tsundere sea relativamente simple, pero también proporciona flexibilidad y dinamismo, permitiendo a los administradores de la botnet adaptarlo a una amplia gama de acciones», dijo Kaspersky.
Las operaciones de botnet se ven facilitadas por un panel de control que permite a los usuarios registrados crear nuevos artefactos usando MSI o PowerShell, administrar funciones administrativas, ver la cantidad de bots en un momento dado, convertir sus bots en un proxy para enrutar tráfico malicioso e incluso explorar y comprar botnets a través de un mercado dedicado.
No se sabe exactamente quién está detrás de Tsundere, pero la presencia del idioma ruso en el código fuente para fines de registro alude a un actor de amenazas que habla ruso. Se evalúa que la actividad comparte superposiciones funcionales con una campaña npm maliciosa documentada por Checkmarx, Phylum y Socket en noviembre de 2024.
Es más, se ha identificado que el mismo servidor aloja el panel C2 asociado con un ladrón de información conocido como 123 Stealer, que está disponible mediante suscripción por 120 dólares al mes. Fue anunciado por primera vez por un actor de amenazas llamado «koneko» en un foro de la web oscura el 17 de junio de 2025, según el equipo KrakenLabs de Outpost24.
Otra pista que apunta a sus orígenes rusos es que los clientes tienen prohibido utilizar el ladrón para apuntar a Rusia y los países de la Comunidad de Estados Independientes (CEI). «La violación de esta regla resultará en el bloqueo inmediato de su cuenta sin explicación», dijo Koneko en la publicación de ese momento.
«Las infecciones pueden ocurrir a través de archivos MSI y PowerShell, que brindan flexibilidad en términos de disfrazar instaladores, usar phishing como punto de entrada o integrarse con otros mecanismos de ataque, lo que las convierte en una amenaza aún más formidable», dijo Kaspersky.