Operadores de la Botnet Badbox 2.0 Identificados: Actores Clave Tras la Ciberamenaza Vinculada a China

Operadores de Botnet Expuestos por la Fanfarronería de Ciberdelincuentes

Investigadores en ciberseguridad han identificado a individuos clave que probablemente operan la botnet Badbox 2.0, una ciberamenaza con sede en China que ha infectado más de 10 millones de dispositivos Android TV para streaming. El avance se produjo después de que los operadores de la botnet Kimwolf —una red de malware separada pero igualmente disruptiva— compartieran una captura de pantalla del panel de control de Badbox 2.0, revelando acceso no autorizado y exponiendo detalles críticos sobre sus administradores.

Tanto el FBI como Google están investigando activamente Badbox 2.0, que preinstala software malicioso en cajas Android TV antes de que lleguen a los consumidores. La botnet también se propaga a través de mercados de aplicaciones no oficiales, facilitando el fraude publicitario y el acceso por puerta trasera a redes domésticas.

Análisis Técnico: Cómo Opera Badbox 2.0

Badbox 2.0 es sucesora de la campaña original Badbox, desmantelada en 2024. A diferencia de su predecesora, que se enfocaba principalmente en cajas Android TV, Badbox 2.0 amplía su alcance mediante:

• Preinfección de dispositivos antes de la compra: El malware se incrusta en el firmware, garantizando persistencia incluso después de restablecimientos de fábrica.
• Explotación de tiendas de aplicaciones no oficiales: Los usuarios descargan sin saberlo aplicaciones maliciosas durante la configuración.
• Habilitación de fraude publicitario a gran escala: Los dispositivos comprometidos generan impresiones publicitarias fraudulentas, costando millones a los anunciantes.

La botnet Kimwolf, que infectó más de 2 millones de dispositivos, demostró recientemente su capacidad para secuestrar la infraestructura de Badbox 2.0. Los operadores de Kimwolf —conocidos por los alias "Dort" y "Snow"— agregaron su correo electrónico (ABCD) al panel de control de Badbox 2.0, sugiriendo una posible fusión o toma de control de los sistemas de comando y control (C2) de la botnet.

Individuos Clave Vinculados a Badbox 2.0

El análisis forense de la captura de pantalla del panel de control de Badbox 2.0 reveló siete usuarios autorizados, entre ellos:

1. Chen Daihai (陈代海)

   • Correo electrónico: 34557257@qq.com (alias: Chen)
   • Vinculado a Beijing Hong Dake Wang Science & Technology Co Ltd y Moxin Beijing Science and Technology Co. Ltd.
   • Dominios asociados a Badbox 2.0: asmeisvip[.]net, moyix[.]com, vmud[.]net.
   • Reutilización de contraseña (cdh76111) conectada a cathead@gmail.com y daihaic@gmail.com.

2. Zhu Zhiyu (朱志宇)

   • Correo electrónico: xavierzhu@qq.com (alias: Mr.Zhu)
   • Cofundador de Beijing Astrolink Wireless Digital Technology Co. Ltd.
   • Registros de dominio incluyen astrolink[.]cn, otro dominio vinculado a Badbox 2.0.

3. Huang Guilin (桂林 黄)

   • Correo electrónico: 189308024@qq.com (alias: admin)
   • Vinculado a guilincloud[.]cn y al número de teléfono 18681627767.
   • Activo en redes sociales chinas bajo el nombre de usuario h_guilin.

Los cuatro usuarios restantes, todos con direcciones de correo electrónico de qq.com, carecían de afiliaciones corporativas claras y no respondieron a las consultas de investigación.

Impacto y Ramificaciones Legales

La escala y sofisticación de Badbox 2.0 representan riesgos significativos:

• Privacidad del consumidor: Los dispositivos comprometidos pueden exfiltrar datos personales, incluyendo credenciales de Wi-Fi e historial de navegación.
• Seguridad de la red: Los dispositivos infectados actúan como puertas de enlace para ataques adicionales en redes domésticas o corporativas.
• Fraude financiero: Los esquemas de fraude publicitario desvían ingresos de anunciantes legítimos.

En julio de 2025, Google presentó una demanda de "John Doe" contra 25 demandados no identificados, alegando que operaban Badbox 2.0 con fines de lucro. El aviso del FBI de junio de 2025 advirtió sobre dispositivos preinfectados, instando a los consumidores a evitar cajas Android TV no oficiales.

Acceso No Autorizado de Kimwolf: Un Cambio de Juego

Los operadores de Kimwolf explotaron la infraestructura de Badbox 2.0 después de que los proveedores de proxies residenciales parchearan vulnerabilidades en sus sistemas. Según una fuente cercana a la investigación:

"Dort obtuvo acceso no autorizado al panel de control de Badbox. Dado que Badbox no vende proxies, permaneció sin parches, lo que permitió a Kimwolf cargar malware directamente en dispositivos infectados por Badbox."

El método de acceso sigue sin estar claro, pero es poco probable que la cuenta ABCD (vinculada a Dort) persista, ya que los investigadores notificaron a todos los usuarios del panel de Badbox 2.0 sobre la brecha.

Recomendaciones para Equipos de Seguridad

1. Auditorías de dispositivos: Identificar y eliminar cajas Android TV no oficiales de las redes.
2. Verificación de firmware: Asegurarse de que los dispositivos ejecuten firmware firmado por el fabricante para prevenir malware preinstalado.
3. Segmentación de red: Aislar dispositivos IoT para limitar el movimiento lateral en caso de compromiso.
4. Inteligencia de amenazas: Monitorear dominios e IPs asociados con Badbox 2.0 (ej. asmeisvip[.]net, moyix[.]com).
5. Educación del usuario: Advertir a empleados y consumidores sobre los riesgos de tiendas de aplicaciones no oficiales y servicios de streaming pirata.

Conclusión

La exposición de Chen Daihai y Zhu Zhiyu como probables operadores de Badbox 2.0 marca un paso crítico en el desmantelamiento de una de las mayores botnets que atacan dispositivos Android. Aunque las acciones legales y las mitigaciones técnicas están en marcha, este incidente subraya la amenaza persistente de los ataques a la cadena de suministro y la necesidad de una supervisión más estricta en la fabricación y distribución de dispositivos IoT.