Un hombre de 22 años de Oregon, EE. UU., ha sido acusado de desarrollar y administrar una botnet de denegación de servicio distribuida (DDoS) llamada RapperBot. Ethan Foltz, de Eugene, Oregon, ha sido identificado como el administrador de este servicio, según el Departamento de Justicia de EE. UU. (DoJ). Desde al menos 2021, la botnet ha sido utilizada para llevar a cabo ataques DDoS a gran escala contra víctimas en más de 80 países.

Foltz enfrenta un cargo por ayudar e instigar intrusiones informáticas, lo que podría acarrearle una pena máxima de 10 años de prisión. Las autoridades registraron su residencia el 6 de agosto de 2025, tomando el control administrativo de la infraestructura de la botnet.

RapperBot, también conocida como ‘Eleven Eleven Botnet’ y ‘CowBot’, compromete principalmente dispositivos como grabadoras de video digitales (DVR) o enrutadores Wi-Fi infectándolos con malware especializado. Los clientes de RapperBot envían comandos a estos dispositivos infectados, forzándolos a enviar grandes volúmenes de tráfico DDoS a diversos equipos y servidores en todo el mundo.

Inspirada en las botnets fBot (Satori) y Mirai, RapperBot utiliza ataques de fuerza bruta SSH o Telnet para infiltrarse en dispositivos y convertirlos en parte de una red maliciosa capaz de lanzar ataques DDoS. Fortinet documentó públicamente la botnet por primera vez en agosto de 2022, aunque se observaron campañas desde mayo de 2021.

En 2023, un informe de Fortinet reveló que RapperBot se había expandido al cryptojacking, utilizando los recursos informáticos de los dispositivos comprometidos para minar Monero de forma ilícita. A principios de 2025, RapperBot también estuvo implicada en ataques DDoS dirigidos a DeepSeek y X (anteriormente Twitter).

Foltz y sus cómplices están acusados de monetizar RapperBot al proporcionar acceso de pago a una botnet DDoS que ha sido utilizada para llevar a cabo más de 370,000 ataques, dirigidos a 18,000 víctimas únicas en China, Japón, Estados Unidos, Irlanda y Hong Kong desde abril de 2025 hasta principios de agosto.

Amazon Web Services (AWS), uno de los proveedores que soportaron la infraestructura de RapperBot, informó que la botnet infectó más de 45,000 dispositivos en 39 países. AWS ayudó a identificar la infraestructura de comando y control (C2) de RapperBot y a realizar ingeniería inversa del malware para mapear sus operaciones y actividades.

Los fiscales alegan que la botnet comprendía entre 65,000 y 95,000 dispositivos infectados, capaces de lanzar ataques DDoS que medían entre dos y tres Terabits por segundo (Tbps), con el ataque más grande superando probablemente los 6 Tbps. Se cree que la botnet también se utilizó para llevar a cabo ataques DDoS de rescate, con el objetivo de extorsionar a las víctimas.

La investigación rastreó la botnet hasta Foltz después de descubrir direcciones IP vinculadas a diversos servicios en línea utilizados por el acusado, incluyendo PayPal, Gmail y su proveedor de servicios de Internet. Se dice que Foltz también buscó en Google referencias a “RapperBot” o “Rapper Bot” más de 100 veces.

La desarticulación de RapperBot forma parte de la Operación PowerOFF, un esfuerzo internacional en curso diseñado para desmantelar infraestructuras criminales de DDoS-for-hire en todo el mundo.

En INGENIERÍA TELEMÁTICA SAS, estamos comprometidos con la seguridad de su infraestructura. Si desea proteger su empresa contra ataques DDoS y otras amenazas cibernéticas, no dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente. Podemos ayudarle a implementar soluciones robustas de Fortinet, Microsoft, AWS y otras herramientas líderes en el mercado.

Fuente original: Ver aquí