عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد شبكات الروبوتات Kimwolf Botnet Campaign

Kimwolf Botnet Campaign

بواسطة Mezo في شبكات الروبوتات
ترجمة الى:

كشف باحثون أمنيون عن شبكة بوتات ضخمة تستهدف نظام أندرويد، تُعرف باسم Kimwolf، والتي اخترقت أكثر من مليوني جهاز باستغلال شبكات بروكسي منزلية. يحوّل هذا البرنامج الخبيث أجهزة المستهلكين العادية إلى منصة هجوم عالمية، حيث يقوم بتوجيه حركة مرور خبيثة خلسةً، ويتيح شنّ هجمات حجب الخدمة الموزعة (DDoS) واسعة النطاق. تُظهر الملاحظات وجود ما يقارب 12 مليون عنوان IP فريد أسبوعيًا، مما يُبرز النطاق الاستثنائي لهذه العملية.

الأصول والتطور والروابط مع أيسورو

تم تحليل شبكة Kimwolf علنًا لأول مرة في ديسمبر 2025 ، عندما رصد المحققون روابط تقنية وبنيوية قوية مع شبكة بوتات أخرى تُدعى AISURU. تشير الأدلة إلى أن Kimwolf نشطة منذ أغسطس 2025 على الأقل، وأنها تمثل تطورًا لشبكة AISURU يعمل بنظام أندرويد. ويتزايد اعتقاد الباحثين بأن هذه الشبكة هي التي دعمت العديد من حملات DDoS القياسية التي شُوهدت في أواخر العام الماضي.

البصمة العالمية للعدوى والأجهزة المستهدفة

على الرغم من انتشار برنامج Kimwolf الخبيث عالميًا، إلا أن الإصابات تتركز بشكل كبير في فيتنام والبرازيل والهند والمملكة العربية السعودية. ويُشكل جزء كبير من الأنظمة المخترقة أجهزة تلفزيون ذكية وأجهزة استقبال رقمية غير رسمية تعمل بنظام أندرويد، وكثير منها يأتي بإعدادات افتراضية غير آمنة.

يكشف ما لا يقل عن 67% من الأجهزة المتصلة عن خدمة Android Debug Bridge (ADB) غير الموثقة، مما يجعلها عرضة للتحكم عن بُعد. ويشتبه المحققون في أن العديد من هذه المنتجات مُحمّلة مسبقًا بحزم تطوير برمجيات (SDKs) متعلقة بالخوادم الوكيلة قبل وصولها إلى المستهلكين، مما يُدخلها فعليًا في أنظمة الخوادم الوكيلة التي تُصبح فيما بعد قنوات لنشر البرمجيات الخبيثة.

كيف ينتشر كيم وولف ويحافظ على سيطرته

يعتمد مشغلو شبكة Kimwolf على شبكات بروكسي منزلية واسعة النطاق لمسح الإنترنت بحثًا عن أجهزة أندرويد التي تُشغّل خدمات ADB مكشوفة. بمجرد تحديد الجهاز، يتم تثبيت برمجيات خبيثة عن بُعد، مما يحوّله إلى نقطة ترحيل حركة مرور وعقدة هجوم. يفتح البرنامج الخبيث الأساسي منفذ استماع على المنفذ 40860 وينشئ اتصالًا صادرًا مع 85.234.91[.]247:1337، حيث يتلقى منه أوامر التشغيل.

في ديسمبر 2025، تم رصد إصابات برمجية خبيثة مرتبطة بعناوين IP بروكسي مستأجرة من شركة IPIDEA الصينية، وهي شركة تُسوّق لنفسها كأفضل مزود لخدمات بروكسي IP في العالم، حيث تُحدّث عناوين IP الخاصة بها يوميًا بأكثر من 6.1 مليون عنوان، وتُضيف 69 ألف عنوان جديد يوميًا. وفي 27 ديسمبر، أصدرت IPIDEA تحديثًا أمنيًا يحظر الوصول إلى الشبكات المحلية والمنافذ الحساسة، بعد ظهور أدلة تُشير إلى أن المهاجمين كانوا يستخدمون برامج بروكسي مُثبّتة من قِبل العملاء للوصول إلى الأجهزة الداخلية.

وصف المحللون مدى التعرض الذي أحدثته هذه التقنية بأنه غير مسبوق، حيث وضع ملايين الأنظمة الاستهلاكية مباشرة في مسار الاستغلال الآلي.

تحقيق الربح: الخوادم الوكيلة، والحمولات، والهجمات المدفوعة

منذ البداية، كانت دوافع كيم وولف المالية واضحة. فقد قام المشغلون بتسويق بنيتهم التحتية بقوة، محولين الأجهزة المخترقة إلى أصول مدرة للربح من خلال قنوات متعددة:

  • بيع خدمة الوصول إلى البروكسي السكني، والتي تم الإعلان عنها بسعر زهيد يصل إلى 0.20 دولار لكل جيجابايت أو حوالي 1400 دولار شهريًا لعرض نطاق ترددي غير محدود، الأمر الذي جذب اعتمادًا مبكرًا من العديد من خدمات البروكسي.
  • نشر مجموعات تطوير البرامج (SDKs) الثانوية لتحقيق الدخل، وأبرزها مجموعة تطوير البرامج (SDK) الخاصة بـ Plainproxies Byteconnect، والتي تقوم بتوجيه مهام البروكسي المدفوعة من خادم الأوامر إلى الأجهزة المصابة عبر 119 خادم ترحيل مخصص.
  • إساءة استخدام شبكة الروبوتات في عمليات الجرائم الإلكترونية، بما في ذلك نشاط DDoS واسع النطاق وحملات حشو بيانات الاعتماد التي تم رصدها ضد خدمات IMAP والمنصات الإلكترونية الشائعة.

يشير وجود أجهزة التلفزيون المصابة مسبقًا ودمج مجموعات تطوير البرامج التجارية لمشاركة النطاق الترددي بقوة إلى تعميق التعاون بين مشغلي شبكات الروبوتات وقطاعات الاقتصاد الوكيل.

التدابير الوقائية والحد من المخاطر

للتخفيف من حدة التهديدات المماثلة، يلزم اتخاذ إجراءات منسقة بين كل من مزودي الخدمات وبيئات المستخدمين النهائيين:

  • ينبغي لشبكات البروكسي حظر حركة المرور المتجهة إلى نطاقات عناوين RFC 1918، مما يمنع العملاء الخارجيين من الوصول إلى الشبكات الخاصة الداخلية حيث توجد أجهزة المستهلكين.
  • يجب على المؤسسات والأفراد تعطيل أو تقييد الوصول غير المصادق عليه إلى ADB على أنظمة Android، وخاصة الأجهزة المدمجة وأجهزة إنترنت الأشياء التي غالبًا ما تأتي بإعدادات افتراضية غير آمنة.

بدون هذه الضوابط، ستستمر أنظمة البروكسي السكنية في توفير غطاء مثالي لنشر البرامج الضارة على نطاق واسع وتوسيع شبكات الروبوتات.

الشائع

Kimwolf Botnet Campaign

شبكات الروبوتات
كشف باحثون أمنيون عن شبكة بوتات ضخمة تستهدف نظام أندرويد، تُعرف باسم Kimwolf، والتي اخترقت أكثر من مليوني جهاز باستغلال شبكات بروكسي منزلية. يحوّل هذا البرنامج الخبيث أجهزة المستهلكين العادية إلى منصة هجوم عالمية، حيث يقوم بتوجيه حركة مرور خبيثة خلسةً، ويتيح شنّ هجمات حجب الخدمة الموزعة (DDoS) واسعة النطاق. تُظهر الملاحظات وجود ما يقارب 12 مليون عنوان IP فريد أسبوعيًا، مما يُبرز النطاق...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
29,237
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...