La Botnet Kimwolf Ataca la Red de Anonimato I2P con un Masivo Ataque Sybil

La Botnet Kimwolf Satura la Red de Anonimato I2P

Durante la última semana, la botnet Kimwolf —una amenaza masiva basada en dispositivos IoT identificada por primera vez a finales de 2025— ha causado graves interrupciones en The Invisible Internet Project (I2P), una red descentralizada y cifrada diseñada para la comunicación anónima. Las caídas coincidieron con los intentos de los operadores de la botnet de utilizar I2P como infraestructura de respaldo para su command-and-control (C2), con el fin de evadir los esfuerzos de desmantelamiento.

Detalles Técnicos del Ataque

Kimwolf, que ha infectado millones de dispositivos IoT mal asegurados (incluyendo cajas de streaming, marcos digitales para fotos y routers), ha estado aprovechando I2P para mantener su resiliencia ante interrupciones. El 3 de febrero, los usuarios de I2P reportaron un repentino aumento de decenas de miles de nuevos routers que saturaron la red, provocando fallos generalizados de conectividad.

El ataque siguió un patrón de ataque Sybil, en el que una sola entidad (en este caso, los operadores de Kimwolf) inunda una red peer-to-peer con identidades pseudónimas para degradar su rendimiento. Según Lance James, fundador de la firma de ciberseguridad Unit 221B y colaborador temprano de I2P, la red suele estar compuesta por 15,000–20,000 dispositivos activos, una cifra muy inferior a los 700,000 nodos infectados por Kimwolf que intentaban unirse.

Los operadores de la botnet discutieron abiertamente sus acciones en un canal de Discord, admitiendo que habían interrumpido I2P de manera no intencional mientras probaban la red como respaldo para su infraestructura C2. Benjamin Brundage, fundador de Synthient (una startup de seguimiento de proxies), señaló que Kimwolf también ha experimentado con Tor para fines similares, aunque no se han reportado interrupciones importantes en esta red.

Impacto en I2P y Preocupaciones de Seguridad Más Amplias

El ataque redujo la capacidad operativa de I2P en aproximadamente un 50%, con usuarios reportando congelamientos en las conexiones cuando el tráfico de red superó las 60,000 conexiones simultáneas. Aunque la función principal de la botnet es llevar a cabo ataques DDoS, su reciente giro hacia redes de anonimato como I2P y Tor refleja una tendencia creciente: los operadores de botnets buscan canales C2 resilientes para evadir los esfuerzos de desmantelamiento.

Kimwolf ha causado problemas previamente a Cloudflare, saturando su infraestructura DNS y provocando que dominios maliciosos superaran brevemente en el ranking de tráfico a plataformas importantes como Amazon, Apple, Google y Microsoft.

Estado Actual y Esfuerzos de Mitigación

Los desarrolladores de I2P están implementando una actualización de estabilidad para restaurar las operaciones normales en el transcurso de la semana. Mientras tanto, Brundage informó que el número de dispositivos infectados por Kimwolf ha disminuido en más de 600,000, debido a una mala gestión interna, lo que sugiere que los operadores de la botnet podrían carecer de experiencia operativa.

"Están realizando experimentos en producción", comentó Brundage. "La botnet se está reduciendo y no parecen saber lo que están haciendo".

Para los equipos de seguridad, este incidente subraya los riesgos de que botnets de IoT exploten redes de anonimato para ganar resiliencia. Monitorear tráfico inusual en I2P/Tor y patrones de ataques Sybil puede ayudar a detectar amenazas similares de manera temprana.