Кампания с ботнет мрежа Kimwolf
Изследователи по сигурността разкриха масивна ботнет мрежа, фокусирана върху Android, известна като Kimwolf, която е компрометирала над два милиона устройства, използвайки жилищни прокси мрежи. Зловредният софтуер трансформира ежедневния потребителски хардуер в глобална платформа за атаки, като тихо насочва злонамерен трафик и позволява мащабни разпределени операции за отказ на услуга (DDoS). Наблюденията показват приблизително 12 милиона уникални IP адреса всяка седмица, което подчертава изключителния обхват на тази операция.
Съдържание
Произход, еволюция и връзки с AISURU
Kimwolf беше анализиран публично за първи път през декември 2025 г. , когато разследващите установиха силни технически и инфраструктурни връзки с друг ботнет, наречен AISURU. Доказателствата сочат, че Kimwolf е активен поне от август 2025 г. и представлява еволюция на AISURU, базирана на Android. Изследователите все повече вярват, че този ботнет е захранвал няколко рекордни DDoS кампании, наблюдавани към края на миналата година.
Глобален отпечатък от инфекции и целеви устройства
Въпреки че Kimwolf има световно присъствие, инфекциите са силно концентрирани във Виетнам, Бразилия, Индия и Саудитска Арабия. Значителна част от компрометираните системи са неофициални Android смарт телевизори и приемници, много от които се доставят с несигурни конфигурации по подразбиране.
Най-малко 67% от свързаните устройства са изложени на неавтентична услуга Android Debug Bridge (ADB), което ги оставя отворени за дистанционно управление. Разследващите подозират, че много от тези продукти са предварително заредени с комплекти за разработка на софтуер (SDK), свързани с прокси сървъри, преди да достигнат до потребителите, като по този начин ефективно ги записват в прокси екосистеми, които по-късно се превръщат в канали за доставка на зловреден софтуер.
Как Кимволф разпространява и поддържа контрол
Операторите на Kimwolf разчитат на големи жилищни прокси мрежи, за да сканират интернет за Android устройства, работещи с открити ADB услуги. След като бъде идентифициран, зловредният софтуер се инсталира дистанционно, превръщайки устройството в ретранслатор на трафик и възел за атака. Основният полезен товар отваря слушател на порт 40860 и установява изходяща комуникация с 85.234.91[.]247:1337, от който получава оперативни команди.
Едва през декември 2025 г. инфекциите бяха проследени до прокси IP адреси, наети от базираната в Китай IPIDEA, доставчик, който се рекламира като водеща световна IP прокси услуга с над 6,1 милиона ежедневно обновявани IP адреси и 69 000 нови адреса всеки ден. На 27 декември IPIDEA внедри актуализация за сигурност, блокираща достъпа до локални мрежи и чувствителни портове, след като се появиха доказателства, че нападателите са тунелирали през инсталиран от клиентите прокси софтуер, за да достигнат до вътрешни устройства.
Разкритието, създадено от тази техника, беше описано от анализаторите като безпрецедентно, поставяйки милиони потребителски системи директно на пътя на автоматизираната експлоатация.
Монетизация: Проксита, полезни товари и платени атаки
От самото начало финансовите мотиви на Kimwolf бяха ясни. Операторите агресивно комерсиализираха своята инфраструктура, превръщайки компрометираните устройства в активи, генериращи печалба, чрез множество канали:
- Продажба на достъп до прокси сървър за жилищни сгради, рекламиран на цени от едва $0,20 на GB или около $1400 на месец за неограничен трафик, което привлече ранно приемане от множество прокси услуги.
- Разгръщане на вторични SDK за монетизация, най-вече Plainproxies Byteconnect SDK, който насочва платени прокси задачи от команден сървър към заразени устройства чрез 119 специализирани релейни сървъра.
- Злоупотреба с ботнет мрежата за киберпрестъпни операции, включително мащабна DDoS активност и наблюдавани кампании за кражба на идентификационни данни срещу IMAP услуги и популярни онлайн платформи.
Наличието на предварително заразени телевизионни приемници и интегрирането на търговски SDK за споделяне на честотна лента силно предполагат задълбочаване на сътрудничеството между операторите на ботнет мрежи и сегментите на прокси икономиката.
Защитни мерки и намаляване на риска
За да се смекчат подобни заплахи, са необходими координирани действия както от страна на доставчиците на услуги, така и от страна на крайните потребители:
- Прокси мрежите трябва да блокират трафика, насочен към адресни диапазони по RFC 1918, като по този начин предотвратяват достъпа на външни клиенти до вътрешни частни мрежи, където се намират потребителски устройства.
- Организациите и отделните лица трябва да деактивират или ограничат неавторизирания достъп до ADB на Android системи, особено на вградени и IoT устройства, които често се доставят с несигурни настройки по подразбиране.
Без тези контроли, екосистемите от жилищни прокси сървъри ще продължат да осигуряват идеално прикритие за мащабно внедряване на зловреден софтуер и разширяване на ботнет мрежи.
