Los ataques se dirigen cada vez más hacia infraestructuras que escapan a la visibilidad de los puntos finales. Las redes proxy admiten una amplia gama de operaciones, los dispositivos de borde actúan como puntos de acceso iniciales y la IA genérica acelera la forma en que los atacantes ensamblan y reconstruyen sus herramientas. El Informe de Amenazas de Lumen de 2026 describe este patrón en la actividad delictiva y estatal.
“La inteligencia sobre amenazas es necesaria para encontrar al adversario lo antes posible y lo más cerca posible del punto de origen”, dijo Chris Kissel , vicepresidente de Seguridad y Confianza de IDC.
La presión inicial se acumuló en el borde.
El movimiento se había estado gestando durante varios años. En 2022, más del 80 % de las brechas de seguridad contra aplicaciones web y servicios expuestos a internet implicaron ataques de fuerza bruta o el robo de credenciales. Posteriormente, Microsoft informó de un pico global de 11 000 ataques basados en contraseñas por segundo en abril de 2023.
Para 2025, las herramientas de protección de endpoints estaban ampliamente implementadas: el 91 % de las organizaciones utilizaban EDR y estas herramientas cubrían, en promedio, el 72 % de los dispositivos incluidos en su ámbito de aplicación. Esto convertía a los routers, las puertas de enlace VPN, los firewalls y otros sistemas expuestos en puntos de entrada atractivos.
“Al permanecer ocultos en dispositivos que escapan al alcance de los controles de seguridad estándar y al intentar acceder a ellos días, semanas o incluso meses después del acceso inicial, los atacantes pueden eludir mejor la detección e impedir que los defensores establezcan las conexiones”, afirmaron los investigadores.
Algunas de las señales más claras aparecieron en infraestructuras que rara vez reciben el mismo escrutinio que las computadoras portátiles o los servidores. J-magic comenzó a mediados de 2023 y se mantuvo activo al menos hasta mediados de 2024. La telemetría de marzo a septiembre de 2024 identificó 36 direcciones IP únicas que coincidían con sus condiciones de firma, un nivel inferior al 0,01 % del NetFlow analizado.
El 50 % de los dispositivos objetivo parecían funcionar como puertas de enlace VPN. Secret Blizzard siguió un camino diferente. Desde diciembre de 2022 hasta noviembre de 2024, esta campaña se infiltró en 33 nodos C2 de Storm-0156. Posteriormente, los investigadores documentaron 37 nodos C2 de Secret Blizzard y Storm-0156 vinculados a la operación.
Las botnets se convirtieron en infraestructura operativa.
Las operaciones de proxy y botnet también adquirieron mayor relevancia. Aisuru registró 2.948.616 direcciones IP, el total más alto entre las familias de amenazas en 2025. Le siguió Vo1d con 2.519.125, y AWM alcanzó los 2.356.202.
Por recuento promedio diario de bots, Aisuru Proxies ocupó el primer lugar con 129.487, seguido de Mysterium con 45.097 y Aisuru con 31.549. NSOCKS apareció en ambas clasificaciones.
Rhadamanthys , que surgió a finales de 2022, superó las 12.000 víctimas en todo el mundo en octubre de 2025. Mantenía un promedio diario de 300 servidores activos y alcanzó un pico de 535 servidores ese mes.
Más del 60 % de sus servidores C2 estaban alojados en EE. UU., Alemania, el Reino Unido y los Países Bajos. Más del 60 % de sus servidores C2 no presentaban ninguna detección en VirusTotal en el momento de la publicación del informe original. Black Lotus Labs afirmó que la industria en general rastreaba alrededor del 20 % de los aproximadamente 200 servidores C2 de Rhadamanthys que monitoreaba diariamente.
SystemBC apareció en septiembre de 2025 con más de 80 servidores C2 y un promedio diario de 1500 víctimas. Cada víctima presentaba un promedio de 20 vulnerabilidades CVE sin parchear y al menos una vulnerabilidad crítica. Un servidor observado tenía más de 160 vulnerabilidades sin parchear. Los investigadores también observaron que una sola IP de proxy generaba más de 16 GB de tráfico de proxy en un período de 24 horas. Casi el 100 % de los bots terminaron en listas de bloqueo.
DanaBot , detectado por primera vez en 2018, se mantuvo muy activo hasta mayo de 2025. «Tras la Operación Endgame II, DanaBot resurgió en noviembre de 2025 con la ‘Versión 669’, que aprovecha complejos ataques multifase para atacar a instituciones financieras, monederos de criptomonedas y víctimas individuales», señalaron los investigadores.
Durante su funcionamiento en 2025, mantuvo cerca de 150 servidores C2 activos por día y 1000 víctimas diarias en más de 40 países. Solo el 25 % de su infraestructura C2 tenía una puntuación de detección de VirusTotal superior a cero. La mitad de las víctimas contactaron con un servidor C2 de DanaBot durante un solo día, y el 75 % de las infecciones duraron menos de tres días.
A finales de 2025 se produjo una rotación más rápida.
La aceleración más pronunciada se produjo casi al final del año. El número de bots de Aisuru se triplicó en una semana en septiembre de 2025. Posteriormente, los investigadores descubrieron que sus 1,8 millones de bots se generaron mediante la explotación de servicios de proxy.
Kimwolf surgió de ese cambio a mediados de octubre de 2025 y lanzó ataques que alcanzaron casi 30 Tbps.
“Tras la presión ejercida sobre Aisuru , los operadores de Kimwolf reconstruyeron rápidamente su plataforma de control. Aparecieron nuevos dominios C2, se modificó el malware y los patrones de tráfico cambiaron rápidamente. En cuestión de semanas, la botnet creció hasta alcanzar cientos de miles de bots, manteniendo una enorme capacidad de DDoS mientras evadía activamente la supresión”, afirmaron.
Raptor Train muestra la trayectoria a largo plazo detrás de ese repunte de finales de año. La botnet llevaba más de cuatro años gestándose cuando fue desmantelada. Alcanzó su punto máximo en junio de 2023 con más de 60 000 dispositivos comprometidos activamente, y más de 200 000 dispositivos se incorporaron a la botnet durante su funcionamiento.
Su infraestructura C2 pasó de aproximadamente 1 a 5 nodos entre 2020 y 2022, a 11 a mediados de 2023, a 30 entre febrero y marzo de 2024, y a más de 60 entre junio y agosto de 2024. Los bots de nivel 1 duraron un promedio de 17 días. Los nodos de nivel 2 y 3 duraron un promedio de 77 días.
“Raptor Train demuestra cómo son las campañas modernas cuando la capa de infraestructura se convierte en la operación, y por qué los defensores necesitan inteligencia de red para detectar y detener los ataques de forma proactiva”, concluyeron los investigadores.
Fuente y redacción: helpnetsecurity.com
