Entre julio y diciembre de 2025 el número de servidores de Comando y Control (C&C) activos creció un 24%, alcanzando 21.425 controladores documentados frente a los 17.258 del semestre anterior. El promedio mensual pasó de 2.876 a 3.571 servidores. Estos son los datos que publica el Spamhaus Botnet Threat Update julio-diciembre 2025, uno de los registros más rigurosos de infraestructura botnet activa a nivel global, y la tendencia que revelan es la misma que el semestre anterior.

El modelo de negocio del cibercrimen sigue siendo rentable, accesible y técnicamente más ágil que las operaciones de takedown que buscan desmantelarlo.

Las botnets son redes de dispositivos comprometidos, ya sean ordenadores, servidores, móviles, dispositivos IoT controlados de forma remota por operadores que los usan para lanzar ataques DDoS, campañas de phishing masivas, distribución de malware y exfiltración de credenciales. Los servidores C&C son el sistema nervioso de esa infraestructura, el punto desde donde se emiten las instrucciones a los dispositivos infectados. Rastrear su volumen y distribución es rastrear la capacidad operativa real del cibercrimen organizado.

El mapa geopolítico del cibercrimen ya no es lo que era

El dato más disruptivo del reporte no es el crecimiento absoluto sino su distribución geográfica. Estados Unidos desplazó a China del primer lugar como país con más servidores C&C alojados, con un incremento del 44% que lo lleva a 5.040 controladores. China, en contraste, registró una disminución del 5% hasta 3.371.

La interpretación correcta de este dato no es que el cibercrimen se haya "americanizado". Es que los atacantes eligen activamente infraestructura en jurisdicciones con alta densidad de proveedores cloud legítimos, donde el tráfico malicioso se camufla más eficientemente entre volúmenes enormes de tráfico legítimo.

La reputación de las IPs en grandes proveedores de infraestructura estadounidense es inherentemente más alta en los sistemas de filtrado, lo que extiende el tiempo de vida útil de un servidor C&C antes de ser bloqueado.

El caso de Seychelles es igual de revelador, un incremento del 287% que lo catapultó al puesto número ocho global con 647 servidores. El mecanismo documentado son proveedores de alojamiento deshonestos que operan mediante corporaciones fantasma offshore, ofreciendo lo que el sector conoce como bulletproof hosting, infraestructura diseñada para resistir solicitudes de takedown y que opera con total indiferencia ante los reportes de abuso.

La conclusión operativa es directa: las políticas de bloqueo basadas en geolocalización construidas sobre el sesgo de que el tráfico malicioso proviene mayoritariamente de Asia o Europa del Este están desactualizadas. Los datos de Spamhaus refutan ese modelo de defensa con cifras concretas.

Los RATs consolidan su dominio y XWorm lidera el crecimiento

El arsenal de la infraestructura botnet está rotando hacia los Troyanos de Acceso Remoto (RATs: Remote Access Trojan), que representaron el 42% de todo el malware asociado a los C&Cs documentados en el período. El crecimiento es explosivo en las familias más activas:

• XWorm creció un 118%
• Remcos un 48%
• AsyncRAT un 40%
• QuasarRAT (+38%)
• ValleyRAT (+36%)

La consolidación de los RATs como vector preferente no es una coincidencia técnica. Refleja un cambio en el objetivo primario de los operadores, ya no es el cifrado inmediato para extorsión (que requiere payload de ransomware), sino establecer persistencia, ejecutar movimiento lateral y exfiltrar credenciales antes de cualquier acción visible.

Un dispositivo comprometido por un RAT puede operar como punto de apoyo silencioso durante meses, exactamente el tipo de acceso que los brokers venden en los marketplaces de la dark web y que los operadores de ransomware compran como initial access para campañas de mayor envergadura.

Cobalt Strike, la herramienta comercial de penetration testing convertida en favorita del cibercrimen, mantiene su posición como la familia individual más frecuente con el 20% de la lista principal. Su prevalencia continuada después de años de operaciones de takedown específicas contra su infraestructura demuestra la capacidad de recuperación del ecosistema, cuando se derriba un cluster, otro grupo restablece la infraestructura en semanas usando las mismas técnicas de ofuscación.

La anomalía rusa: +9.608% en un registrador, +3.741% en dominios .ru

El pico más llamativo del reporte es el que ningún modelo de predicción habría anticipado. Los dominios bajo el TLD ruso (.ru) que alojan C&Cs crecieron un 3.741% hasta 3.726 servidores. Una parte significativa de ese volumen se atribuye a js.clearfake, un framework de JavaScript malicioso inyectado en sitios web legítimos para engañar a usuarios y forzar la descarga de malware mediante falsos avisos de actualización de navegador o verificaciones CAPTCHA falsas.

Pero el número que realmente requiere atención es el del registrador REGRU: un incremento del 9.608% en registros de dominios destinados a C&Cs, de 40 a 3.883 registros en un solo semestre. Esta escala de crecimiento en una jurisdicción específica bajo un registrador específico no es orgánica.

Es infraestructura creada con intención deliberada en un entorno que los operadores consideran protegido del alcance directo de la aplicación de la ley occidental. El reporte de Spamhaus lo documenta como una reversión completa de la tendencia moderada que el espacio .ru había mantenido durante el año previo.

La implicación defensiva es que los feeds de threat intelligence que actualicen listas de bloqueo de dominios .ru con baja frecuencia tienen ahora un gap de cobertura significativo. Un dominio registrado en REGRU con propósito malicioso puede tener un tiempo de vida útil como C&C suficiente para completar una campaña completa antes de aparecer en las listas de bloqueo estándar.

La botnet IoT que entró directamente al top 5

Entre las nuevas amenazas que documenta el reporte, Aisuru merece atención específica. Esta botnet compuesta por dispositivos IoT comprometidos irrumpió directamente en el puesto número cinco con 1.023 controladores, sin historial previo relevante en los semestres anteriores.

El vector de infección de Aisuru son los dispositivos IoT con firmware antiguo sin parches de seguridad, routers domésticos, cámaras IP, dispositivos industriales conectados que ejecutan versiones de software con vulnerabilidades conocidas y sin mecanismo de actualización automática. Una vez comprometidos, se incorporan a la red para lanzar ataques DDoS de alto volumen o funcionar como proxies residenciales que ofrecen IPs aparentemente legítimas para operaciones de scraping, credential stuffing o evasión de controles geográficos.

El ascenso de Aisuru ilustra por qué la seguridad de endpoints no puede limitarse a los dispositivos gestionados. Cada router de oficina con firmware de 2019, cada cámara IP instalada hace tres años y nunca actualizada, cada dispositivo OT conectado a la red corporativa con credenciales por defecto es un candidato activo para integrarse a una infraestructura como esta.

Lo que implica para los equipos de defensa

Seamos claros sobre las consecuencias operativas de estos datos. El crecimiento sostenido del 24% semestral en infraestructura C&C indica que los mecanismos actuales de takedown no están reduciendo la capacidad operativa del ecosistema, la reemplazan a medida que se elimina, con frecuencia más rápido. Las operaciones de law enforcement como la que desmanteló LockBit en 2024 son victorias tácticas en un ecosistema que demuestra resiliencia estructural.

La detección del movimiento lateral y del comportamiento anómalo post-compromiso es el control más crítico en este entorno. Un dispositivo infectado por un RAT no genera las mismas alertas que un intento de acceso desde una IP de reputación baja, opera con credenciales legítimas desde un dispositivo legítimo, dentro del perímetro. La diferencia entre detectarlo en horas o en semanas determina si el incidente es contenible o catastrófico.

Los equipos que operan con listas de bloqueo estáticas basadas en reputación geográfica tienen una brecha de cobertura documentada. La infraestructura botnet activa en 2025 está distribuida en Estados Unidos, Seychelles y dominios .ru con igual efectividad. El modelo de detección basado en comportamiento tráfico de red anómalo, comunicaciones periódicas con IPs desconocidas, procesos que establecen conexiones salientes fuera del baseline, es el que escala frente a esta distribución.

¿Tu organización tiene visibilidad sobre las comunicaciones salientes de sus dispositivos IoT hacia IPs externas? Ese punto ciego es exactamente donde Aisuru encontró su primer 1.000 controladores.