Los cibercriminales que controlan a Kimwolf —una botnet disruptiva que ha infectado más de 2 millones de dispositivos— compartieron recientemente una captura de pantalla que indica que han comprometido el panel de control para Badbox 2.0, una vasta botnet basada en China alimentada por software malicioso preinstalado en muchos reproductores de TV Android de streaming. El FBI y Google dicen que están investigando a las personas detrás de Badbox 2.0, y gracias al orgulloso despliegue de los botmasters Kimwolf, ahora podríamos tener una idea mucho más clara sobre eso.
Nuestra primera noticia del año 2026, titulada 'El botnet Kimwolf está acechando tu red local', detalló los métodos únicos e invasivos que usa Kimwolf para propagarse. La noticia advirtió que la mayoría de los sistemas infectados por Kimwolf eran dispositivos Android TV no oficiales vendidos como una forma de ver películas y programas de televisión en streaming gratuitos con un pago único.
Nuestra noticia del 8 de enero de 2026, '¿Quién Benefició de los Botnets Aisuru y Kimwolf?', citó a varias fuentes que decían que los actuales administradores de Kimwolf se conocían por sus apodos ‘Dort’ y ‘Snow’. Este mes pasado, un ex asistente cercano a Dort y Snow compartió lo que decía ser una captura de pantalla tomada por los botmasters Kimwolf mientras estaban conectados al panel de control de la botnet Badbox 2.0.
Esta captura de pantalla muestra a siete usuarios autorizados del panel de control, incluyendo uno que no coincide con los demás: Según mi fuente, la cuenta 'ABCD' (la que estaba en sesión y lista en el ángulo superior derecho) pertenece a Dort, quien de alguna manera descubrió cómo agregar su dirección de correo electrónico como usuario válido en la botnet Badbox 2.0.
Badbox tiene una historia importante que precede al surgimiento de Kimwolf en octubre de 2025. En julio de 2025, Google presentó una demanda ‘John Doe’ (PDF) contra 25 defensores no identificados acusados de operar Badbox 2.0, describiéndolo como un botnet compuesto por más de diez millones de dispositivos Android de streaming sin autorización comprometidos en fraude publicitario. Google dijo que Badbox 2.0 podría comprometer múltiples tipos de dispositivos antes de la compra y también infectarlos al requerir la descarga de aplicaciones maliciosas desde mercados no oficiales.
La demanda de Google se produjo tras una advertencia del FBI en junio de 2025, que alertaba sobre el acceso no autorizado a las redes domésticas por parte de criminales cibernéticos que configuraban productos con malware antes del pago del usuario o infectaban dispositivos al descargar aplicaciones conteniendo backdoors —generalmente durante la instalación. El FBI dijo que Badbox 2.0 fue descubierto después de que la campaña original de Badbox se interrumpiera en 2024. La botnet original, identificada en 2023, consistía principalmente en dispositivos con sistema operativo Android (reproductores de TV) comprometidos con malware de puerta trasera antes de la compra.
KrebsOnSecurity estaba inicialmente escéptico sobre el reclamo de que los botmasters Kimwolf habían hackeado la botnet Badbox 2.0, hasta que comenzamos a investigar la historia de las direcciones de correo electrónico de qq.com en la captura de pantalla mencionada.