Eliminar un botnet de miles de routers infectados es difícil, pero existe un método eficaz para combatirlo.

Se ha detectado un nuevo botnet persistente: KadNap

*Investigadores de Black Lotus Labs (Lumen) han identificado una red maliciosa que sigue operando a pesar de los intentos de eliminarla.*

Lo que encontraron
- El botnet KadNap afectó aproximadamente 14 000 routers y otros dispositivos de red, la mayoría fabricados por Asus.

- El virus se propaga mediante vulnerabilidades que no fueron cerradas por los propietarios del equipo.
La mayoría de los dispositivos infectados pertenecen al modelo Asus porque los atacantes encontraron un exploit fiable específicamente para esa línea.

Evaluación de riesgo
- Los investigadores consideran poco probable el uso de zero-days (vulnerabilidades aún desconocidas).

- En agosto del año pasado ya había 10 000 dispositivos infectados, la mayoría en EE. UU. Se han detectado también varios cientos de casos en Taiwán, Hong Kong y Rusia.

Tecnología utilizada
KadNap emplea una arquitectura peer‑to‑peer Kademlia – tablas hash distribuidas que ocultan las direcciones IP de los servidores de comando. Esto hace que el botnet sea difícil de detectar y casi invulnerable a los métodos tradicionales de eliminación.

> “El botnet se destaca porque, en lugar de proxies anónimos, utiliza una red peer‑to‑peer descentralizada”, señalan Chris Formos y Steve Radd de Black Lotus en el blog de Lumen.
> “La intención de los atacantes es evitar la detección y complicar el trabajo de los especialistas en ciberseguridad”.

Cómo responden
- A pesar de su resistencia a los métodos habituales de bloqueo, Black Lotus ha desarrollado una forma de interrumpir todo el tráfico de red entre la infraestructura de comando del botnet y otros nodos.

- El equipo publica indicadores de compromiso en fuentes abiertas para que otras organizaciones puedan bloquear rápidamente el acceso a KadNap.

En resumen, KadNap es un botnet complejo y descentralizado que aprovecha vulnerabilidades de Asus y una red peer‑to‑peer para ocultar su comando. Sin embargo, los especialistas de Lumen ya han encontrado una forma de detener su propagación y ofrecen herramientas para proteger la red contra futuras infecciones.