Investigadores de ciberseguridad han revelado detalles de un marco de botnet de Internet de las cosas (IoT) no informado anteriormente denominado TuxBot v3 Evolución que muestra signos de haber sido desarrollado con la ayuda de un modelo de lenguaje grande (LLM), aunque con resultados no tan exitosos.
“Si bien la IA cumplió con su solicitud de generar código de botnet, incluyó un descargo de responsabilidad de seguridad que el desarrollador no eliminó antes del envío”, dijo la Unidad 42 de Palo Alto Networks. “Aunque el LLM claramente ayudó en la construcción de la botnet, varias funciones en las muestras analizadas no funcionaron correctamente”.
La compañía de ciberseguridad dijo que una revisión manual del código habría resuelto estos errores y que es posible que existan iteraciones más pulidas del malware.
El marco de la botnet consta de varios componentes: un agente bot basado en C que realiza compilaciones cruzadas para múltiples arquitecturas (por ejemplo, ARM, MIPS, MIPSEL, MIPS64, x86_64, PowerPC y RISC-V), un servidor de comando y control (C2) basado en Go con un panel de alquiler de DDoS, una máquina virtual de exploits personalizada, una infraestructura de prueba basada en Docker y un sistema de compilación automatizado.
El agente bot está diseñado para forzar el acceso Telnet a dispositivos específicos con un conjunto de 1496 pares de credenciales, así como para incorporar código de explotación dirigido a más de 30 familias de dispositivos IoT que utilizan vulnerabilidades conocidas. Se comunica con el servidor C2 a través de un canal TCP cifrado, mientras recurre a un algoritmo de generación de dominio (DGA) SHA512, un protocolo de chismes de igual a igual (P2P) con comandos firmados por Ed25519, Internet Relay Chat (IRC), consultas DNS TXT y sondeo HTTP como mecanismo alternativo.
El linaje del marco modular se remonta a tres botnets diferentes, como Mirai, AISURU y Wuhan, además de portar parcialmente algunas de sus funciones del kit de herramientas DDoS Python de código abierto MHDDoS. Al menos una muestra del malware se subió a la plataforma VirusTotal el 20 de enero de 2026, lo que indica que existe desde hace más de seis meses. La evidencia sugiere que el trabajo en la botnet comenzó un año antes, cuando el autor clonó el repositorio MHDDoS de GitHub.
“Según la descripción del marco, el desarrollador de TuxBot construyó lo que llamaron una plataforma de marco C2 de nivel profesional con un panel de administración multiusuario, implementación automatizada y capacidades de ataque modular”, dijeron los investigadores Chris Navarrete, Asher Davila y Doel Santos.
El componente del servidor C2 basado en Go utiliza tres puertos TCP diferentes para las conexiones entrantes:
- Puerto TCP 1999 (o 31337), que se utiliza para manejar el envío de comandos cifrados a los bots conectados
- Puerto TCP 2222, que presenta un shell interactivo para operadores a través de SSH
- Puerto TCP 9999, que utiliza una interfaz JSON para acceso programático

Una vez lanzada, la botnet sigue una secuencia de inicialización predefinida para realizar una serie de acciones:
- Carga de la dirección C2 desde una arquitectura de varios niveles con un canal principal y cinco mecanismos alternativos
- Configurar protecciones anti-depuración y anti-VM que verifican la ejecución de herramientas de análisis
- Ocultar su nombre de proceso
- Instalando persistencia
- Lanzar varios submódulos para montar ataques DDoS, finalizar procesos competitivos, establecer canales C2 a través de IRC, HTTP, DNS y P2P, ejecutar escáneres para Telnet, SSH, HTTP y Android Debug Bridge (ADB), generar un proxy SOCKS5 y ejecutar un marcador de posición de minería de criptomonedas.
El escáner HTTP dedicado, en particular, puede gestionar hasta 128 conexiones simultáneas en cualquier momento dado, funcionando con el objetivo de descubrir interfaces web vulnerables. La persistencia, por otro lado, se logra mediante un servicio systemd, entradas cron y un proceso de vigilancia para garantizar que TuxBot permanezca operativo en la máquina comprometida.
“Varios archivos contienen razonamientos de cadena de pensamiento de LLM sin procesar, dejados palabra por palabra en los comentarios”, dijo Unit42. “Estos comentarios son el razonamiento interno del LLM mientras trabajaba en las tareas de transferencia. Este razonamiento se completa con autointerrupciones, decisiones y referencias al ‘usuario’ (es decir, el desarrollador que solicitó el LLM)”.
Aunque TuxBot v3 Evolution es una botnet en desarrollo, las funciones de trabajo principales, junto con su dependencia de la IA, indican una integración acelerada de características, al mismo tiempo que permiten que lo que parece ser un solo desarrollador cree un conjunto de herramientas multifacético con múltiples canales C2, una máquina virtual de exploit personalizada y un panel de alquiler de DDoS basado en Go.
“La infraestructura compartida con Kaitori v3.9 y las herramientas AISURU coloca al operador TuxBot dentro del ecosistema Keksec”, concluyó la Unidad 42. “Este grupo es conocido por ejecutar múltiples variantes de botnet IoT en paralelo. TuxBot parece ser otra variante en esa cartera. Es una que apunta a ir más allá de la bifurcación Mirai habitual con su C2 cifrado, su DGA y un sistema de explotación modular, aunque ese sistema aún no funciona en la versión que recuperamos”.
La divulgación se produce tras la aparición de otras dos botnets llamadas RustDuck y AryStinger, que se han dirigido a enrutadores, cámaras IP, dispositivos Android y servidores mal protegidos para incorporarlos a una red creada para prestar servicios en línea fuera de línea y realizar reconocimientos.



