Kimwolf Botnet

كشف خبراء الأمن السيبراني عن شبكة بوتات ضخمة لهجمات الحرمان من الخدمة الموزعة (DDoS) تُعرف باسم Kimwolf، والتي أصابت بالفعل أكثر من 1.8 مليون جهاز. تشمل هذه الأجهزة أجهزة تلفزيون تعمل بنظام أندرويد، وأجهزة استقبال البث التلفزيوني، وأجهزة لوحية. وتشير التحقيقات الأولية إلى وجود صلة محتملة بشبكة بوتات AISURU سيئة السمعة. يُسلط هذا الاكتشاف الضوء على التطور المتزايد للبرمجيات الخبيثة التي تستهدف إنترنت الأشياء، ويؤكد على الحاجة الماسة إلى توخي الحذر في حماية الأجهزة المتصلة بالإنترنت.

تشريح كيم وولف

تم تصميم Kimwolf باستخدام حزمة تطوير البرامج الأصلية (NDK) ويجمع بين قدرات متعددة تتجاوز هجمات DDoS التقليدية. تشمل الميزات الرئيسية ما يلي:

• إعادة توجيه الوكيل
• الوصول إلى الصدفة العكسية
• وظائف إدارة الملفات

تم تصميم البرامج الضارة لشبكة الروبوتات لتشغيل عملية واحدة لكل جهاز، وفك تشفير نطاقات التحكم والسيطرة المضمنة، وحل عنوان IP الخاص بـ C2 باستخدام DNS عبر TLS، وتنفيذ الأوامر الواردة من مشغليها.

نطاق ونشاط قياسيان

في غضون ثلاثة أيام فقط، من 19 إلى 22 نوفمبر 2025، أفادت التقارير أن مجموعة Kimwolf أصدرت 1.7 مليار أمر هجوم DDoS. حتى أن أحد نطاقات التحكم والسيطرة التابعة لها، 14emeliaterracewestroxburyma02132[.]su، ظهر لفترة وجيزة ضمن أفضل 100 نطاق على موقع Cloudflare، متجاوزًا جوجل مؤقتًا.

تشمل أهداف العدوى الأولية أجهزة استقبال التلفزيون المنزلية مثل:

• صندوق التلفزيون، سوبر بوكس، هاي دي بي تي أندرويد
• بي 200، X96Q، إكس بوكس، سمارت تي في، MX10

جغرافياً، تتركز الإصابات في البرازيل والهند والولايات المتحدة والأرجنتين وجنوب إفريقيا والفلبين، على الرغم من أن طريقة الانتشار الدقيقة لا تزال غير واضحة.

التطور والمرونة

يُظهر برنامج Kimwolf الخبيث قدرةً فائقةً على التكيف. فقد تم تعطيل نطاقات التحكم والسيطرة الخاصة به ثلاث مرات على الأقل في ديسمبر 2025، مما دفع القائمين عليه إلى تبني نطاقات خدمة أسماء إيثيريوم (ENS) لتعزيز البنية التحتية. وتتضمن الإصدارات الحديثة من هذا البرنامج الخبيث تقنية EtherHiding، وهي تقنية تسترجع عنوان IP الفعلي لنطاق التحكم والسيطرة عبر العقود الذكية، ثم تُحوله من خلال عمليات XOR، مما يجعل تعطيله أكثر صعوبة.

الاتصال بشبكة AISURU والبنية التحتية المشتركة

تشير الأدلة إلى وجود صلة بين كيم وولف وشبكة الروبوتات AISURU، المعروفة بهجمات DDoS التي حطمت الأرقام القياسية:

• تعايشت شبكتا الروبوتات على نفس الأجهزة المصابة بين سبتمبر ونوفمبر 2025.
• تشير أوجه التشابه في حزم APK وشهادات توقيع التعليمات البرمجية ('John Dinglebert Dinglenut VIII VanSack Smith') إلى أصل تطوير مشترك.
• أكد خادم التنزيل (93.95.112[.]59) وجود نصوص برمجية تشير إلى كل من Kimwolf و AISURU APKs.

تشير هذه العلاقة إلى احتمال قيام مجموعة واحدة من المتسللين بتشغيل شبكتي الروبوتات لزيادة نطاق الوصول وتجنب الكشف.

قدرات الهجوم وتحقيق الدخل

يدعم برنامج Kimwolf ثلاثة عشر أسلوبًا مختلفًا لهجمات الحرمان من الخدمة الموزعة (DDoS) عبر بروتوكولات UDP وTCP وICMP، مستهدفًا دولًا من بينها الولايات المتحدة والصين وفرنسا وألمانيا وكندا. ومن المثير للاهتمام أن أكثر من 96% من الأوامر الصادرة موجهة لاستخدام العقد المصابة كخوادم وسيطة، مما يشير إلى دافع ربحي قوي.

تشمل المكونات الإضافية التي تم نشرها على الأجهزة المخترقة ما يلي:

• عميل أوامر مبني على لغة Rust – يقوم بإنشاء شبكة بروكسي
• مجموعة أدوات تطوير البرمجيات ByteConnect – تُحقق الربح من حركة مرور إنترنت الأشياء للمطورين ومالكي الأجهزة
• يؤدي تشفير TLS إلى تأمين جميع الاتصالات، كما يتم تشفير البيانات الحساسة المتعلقة بخوادم C2 ومحللات DNS، مما يزيد من التخفي التشغيلي.

السياق الأوسع لشبكات الروبوتات العملاقة

منذ ظهور فيروس ميراي في عام 2016، شهدت شبكات الروبوتات العملاقة لإنترنت الأشياء تطوراً ملحوظاً. استهدفت الإصدارات الأولى في المقام الأول أجهزة توجيه النطاق العريض والكاميرات، لكن شبكات الروبوتات الحديثة مثل بادبوكس وبيغبانزي وفو1د وكيم وولف تركز بشكل متزايد على أجهزة التلفزيون الذكية وأجهزة استقبال البث التلفزيوني، مما يعكس تحول اهتمامات المهاجمين نحو الأجهزة الاستهلاكية ذات النطاق الترددي العالي.