Yakarta, VIVA – El equipo de análisis e investigación global (GReAT) de Kaspersky descubrió una nueva botnet creada por un actor malicioso que resurgió en julio de 2025.
Lea también:
macOS y Windows bajo amenaza
Para atraer a las víctimas, los atacantes utilizan instaladores MSI disfrazados de configuraciones falsas para juegos populares, incluidos shooters como «Valorant», «CS2» o «R6x», así como otro software.
Actualmente, la botnet está creciendo y representa una amenaza activa para los usuarios de Windows. Esta botnet fue detectada por Kaspersky en México, Chile, Rusia y Kazajstán.
Lea también:
¡No lo ignores! Estos son los beneficios del cifrado de dispositivos que necesita conocer
La botnet Tsundere utiliza el enfoque cada vez más popular de utilizar contratos inteligentes Web3 para almacenar direcciones de comando y control (C2), lo que aumenta significativamente la resiliencia de su infraestructura.
Su panel C2 admite dos formatos de distribución: el instalador MSI y el script PowerShell con implantes generados automáticamente. Este implante instalará un bot capaz de ejecutar dinámicamente el código JavaScript recibido -a través de un canal WebSocket cifrado- del C2, lo que puede conducir a la ejecución maliciosa del código enviado por el atacante.
Lea también:
Cómo habilitar las estimaciones de duración de la batería en una computadora portátil con Windows perdida
Para gestionar las infecciones y actualizar las ubicaciones C2, la botnet Tsundere utiliza credenciales fijas en la cadena de bloques Ethereum, como carteras y contratos predefinidos.
Cambiar el servidor C2 requiere solo una transacción que actualice la variable de estado del contrato con la nueva dirección. Este ecosistema de botnet también incluye un mercado integrado y un panel de control accesible a través de la misma interfaz.
Este análisis muestra con alta confianza que el actor de amenazas detrás de la botnet Tsundere probablemente habla ruso, como lo indica el uso del idioma ruso en el código, en consonancia con ataques anteriores vinculados al mismo actor.
Esta investigación también muestra una conexión entre la botnet Tsundere y 123 Stealer creado por “koneko”, ofrecido en foros clandestinos por 120 dólares (casi 2 millones de IDR).
«Tsundere muestra cuán rápido pueden adaptarse los ciberdelincuentes. Al cambiar a mecanismos Web3, la infraestructura se ha vuelto mucho más flexible y resistente. Ya estamos viendo una distribución activa a través de instaladores de juegos falsos y enlaces a actividades maliciosas que ya han sido observadas, por lo que es muy probable que se desarrolle más esta botnet», dijo Lisandro Ubiedo, experto senior en seguridad del equipo de investigación y análisis global de Kaspersky.
Cuidado con las campañas de ciberespionaje
La actual campaña de ciberespionaje de PassiveNeuron tiene como objetivo los sistemas Windows Server en instituciones gubernamentales, financieras e industriales.
VIVA.co.id
7 de noviembre de 2025
