Kimwolf ботнет
Експерти по киберсигурност разкриха масивна разпределена ботнет мрежа за отказ от услуга (DDoS), известна като Kimwolf, която вече е заразила над 1,8 милиона устройства. Те включват телевизори, приемници и таблети с Android. Ранните разследвания показват потенциална връзка с печално известната ботнет мрежа AISURU. Откритието подчертава нарастващата сложност на зловредния софтуер, насочен към IoT, и подчертава критичната необходимост от бдителност при защитата на свързаните устройства.
Съдържание
Анатомия на Кимволф
Kimwolf е изграден с помощта на Native Development Kit (NDK) и комбинира множество възможности отвъд традиционните DDoS атаки. Ключовите характеристики включват:
- Пренасочване на прокси сървър
- Достъп до обратна обвивка
- Функции за управление на файлове
Зловредният софтуер на ботнета е проектиран да изпълнява един процес на устройство, да декриптира вградени домейни за командване и контрол (C2), да разрешава C2 IP адреса, използвайки DNS-over-TLS, и да изпълнява команди, получени от операторите му.
Рекорден мащаб и активност
Само за три дни, от 19 до 22 ноември 2025 г., Kimwolf е издала 1,7 милиарда DDoS команди за атака. Един от C2 домейните на компанията, 14emeliaterracewestroxburyma02132[.]su, дори за кратко се появи сред 100-те най-популярни домейна на Cloudflare, временно изпреварвайки Google.
Основните цели на инфекцията включват жилищни телевизионни приемници, като например:
- ТВ БОКСЕРА, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Географски, инфекциите са концентрирани в Бразилия, Индия, САЩ, Аржентина, Южна Африка и Филипините, въпреки че точният метод на разпространение остава неясен.
Еволюция и устойчивост
Kimwolf демонстрира напреднала адаптивност. Неговите C2 домейни бяха сваляни поне три пъти през декември 2025 г., което накара операторите да приемат домейни на Ethereum Name Service (ENS), за да укрепят инфраструктурата. Последните версии на зловредния софтуер включват EtherHiding, техника, която извлича действителния C2 IP адрес чрез интелигентни договори и го трансформира чрез XOR операции, което прави свалянето на данни много по-трудно.
Връзка с AISURU и споделена инфраструктура
Доказателства свързват Kimwolf с ботнета AISURU, известен с рекордни DDoS атаки:
- И двете ботнет мрежи са съществували едновременно на едни и същи заразени устройства между септември и ноември 2025 г.
- Приликите в APK пакетите и сертификатите за подписване на код („Джон Дингълбърт Дингленът VIII ВанСак Смит“) предполагат споделен произход на разработката.
- Сървър за изтегляне (93.95.112[.]59) потвърди наличието на скриптове, препращащи както към APK файловете Kimwolf, така и към AISURU.
Тази връзка подсказва за една хакерска група, която потенциално управлява и двете ботнет мрежи, за да увеличи максимално обхвата и да избегне откриването.
Възможности за атака и монетизация
Kimwolf поддържа 13 различни DDoS метода през UDP, TCP и ICMP, насочени към държави, включително САЩ, Китай, Франция, Германия и Канада. Интересното е, че над 96% от издадените команди са насочени към използване на заразени възли като прокси услуги, което показва силен мотив за печалба.
Допълнителните компоненти, внедрени в компрометирани устройства, включват:
- Команден клиент, базиран на Rust – изгражда прокси мрежа
- ByteConnect SDK – монетизира IoT трафика за разработчици и собственици на устройства
- TLS криптирането защитава всички комуникации, а чувствителните данни за C2 сървъри и DNS резолвери също са криптирани, което увеличава оперативната скритост.
По-широкият контекст на гигантските ботнети
От появата на Mirai през 2016 г., гигантските IoT ботнети са се развили значително. Ранните версии са били насочени предимно към широколентови рутери и камери, но съвременните ботнети като Badbox, Bigpanzi, Vo1d и Kimwolf все повече се фокусират върху смарт телевизори и телевизионни приемници, което отразява изместването на интересите на нападателите към потребителски устройства с висока пропускателна способност.
