Están explotando activamente los routers industriales Four-Faith para crear botnets, utilizando una vulnerabilidad crítica identificada como CVE-2024-9643. Investigadores de CrowdSec han reportado un aumento significativo en los intentos de explotación, los cuales han pasado de ser simples sondeos a un abuso a gran escala. Esta falla de omisión de autenticación afecta específicamente a los routers celulares industriales Four-Faith F3x36.

Se ha detectado un nuevo clon del malware Shai-Hulud en el paquete npm chalk-tempalte, además de otros tres paquetes maliciosos que roban credenciales, claves SSH y carteras de criptomonedas. Estas herramientas, creadas por un mismo usuario, pueden convertir los equipos infectados en botnets para ataques DDoS. Se recomienda desinstalar estos paquetes inmediatamente y rotar todas las claves de seguridad afectadas.

Un botnet de relleno de credenciales en vivo que apunta a cuentas de Twitter/X ha sido encontrado completamente expuesto a internet, sin necesidad de contraseña para acceder a su panel de control, credenciales del servidor de trabajadores o datos de ataques en tiempo real. El sistema expuesto, que opera bajo el nombre “Twitter Checker Master Panel – FULL FIX v2.3”, dejó al descubierto las contraseñas root SSH de los 18 trabajadores 

El Departamento de Justicia de EE.UU. desmanteló botnets de IoT como AISURU, Kimwolf, JackSkid y Mossad, con capacidad para 3 millones de dispositivos, responsables de ataques DDoS récord de 30 Tbps. Las autoridades colaboraron con empresas como Google, Cloudflare y AWS para interrumpir su infraestructura, identificando a Jacob Butler (alias Dort) como posible operador de Kimwolf. Las botnets infectaron dispositivos vulnerables, incluyendo TVs inteligentes y routers, y vendieron acceso a ciberdelincuentes.

Una botnet recientemente rastreada llamada RondoDox se ha convertido silenciosamente en una de las amenazas más preocupantes observadas en los últimos meses, combinando una colección inusualmente grande de exploits con un uso calculado de la infraestructura de internet residencial. Detectada por primera vez en mayo de 2025, la botnet comenzó a generar altos volúmenes de tráfico en honeypots de seguridad

El Departamento de Justicia de EE.UU. (DoJ) desmantela una botnet compuesta por 360.000 routers y dispositivos IoT infectados distribuidos en 163 países, que operó durante 16 años. La red proxy SocksEscort fue eliminada en una operación conjunta con Europol. La red, conocida como SocksEscort, funcionaba como un servicio proxy malicioso que permitía a los ciberdelincuentes ocultar su ubicación real al realizar actividades ilícitas en línea. Según las autoridades, los dispositivos infectados —en su mayoría routers domésticos y dispositivos IoT— fueron utilizados para facilitar ataques cibernéticos, fraudes y otras actividades delictivas sin que los propietarios legítimos lo supieran. La operación, liderada por el DoJ en colaboración con Europol y otras agencias internacionales, logró interrumpir la infraestructura de la botnet, impidiendo que los atacantes siguieran controlando los dispositivos comprometidos. Aunque no se han revelado detalles sobre los responsables, las autoridades continúan investigando el caso. 

Investigadores descubren un botnet de 14.000 routers (mayoría Asus) infectados con el malware KadNap, que persiste tras reiniciar y se usa como proxies anónimos para ciberdelincuencia.

Se ha descubierto una nueva campaña de troyanos botnet, denominada OCRFix, que combina trucos de ingeniería social con una infraestructura de comandos basada en blockchain para construir silenciosamente una red de máquinas comprometidas. La campaña fusiona la conocida técnica de phishing ClickFix con EtherHiding —un método que almacena instrucciones del atacante directamente en una blockchain pública, haciendo que los desmantelamientos sean casi imposibles—. 

Un ataque sofisticado está dirigiéndose a sistemas Windows Server utilizando Prometei, una botnet vinculada a Rusia que ha estado activa desde 2016. Este malware multifuncional combina la minería de criptomonedas, el robo de credenciales y capacidades de control remoto para mantener acceso a largo plazo en sistemas comprometidos. La botnet Prometei se infiltra en los sistemas explotando credenciales débiles o predeterminadas a través del Protocolo de Escritorio Remoto (RDP).