Kimwolf Botnet Campaign

নিরাপত্তা গবেষকরা কিমওয়াল্প নামে পরিচিত একটি বিশাল অ্যান্ড্রয়েড-কেন্দ্রিক বটনেট আবিষ্কার করেছেন, যা আবাসিক প্রক্সি নেটওয়ার্ক ব্যবহার করে দুই মিলিয়নেরও বেশি ডিভাইসের ক্ষতি করেছে। এই ম্যালওয়্যারটি প্রতিদিনের গ্রাহক হার্ডওয়্যারকে একটি বিশ্বব্যাপী আক্রমণ প্ল্যাটফর্মে রূপান্তরিত করে, নীরবে ক্ষতিকারক ট্র্যাফিককে রুট করে এবং বৃহৎ আকারে বিতরণকৃত ডিনায়াল-অফ-সার্ভিস (DDoS) কার্যক্রম সক্ষম করে। পর্যবেক্ষণে প্রতি সপ্তাহে প্রায় ১ কোটি ২০ লক্ষ অনন্য আইপি ঠিকানা দেখা যায়, যা এই কার্যক্রমের অসাধারণ পরিধি তুলে ধরে।

উৎপত্তি, বিবর্তন, এবং AISURU-এর সাথে সংযোগ

২০২৫ সালের ডিসেম্বরে কিমউলফ প্রথম প্রকাশ্যে বিশ্লেষণ করা হয়েছিল, যখন তদন্তকারীরা AISURU নামক আরেকটি বটনেটের সাথে শক্তিশালী প্রযুক্তিগত এবং অবকাঠামোগত সম্পর্ক সনাক্ত করেছিলেন। প্রমাণ থেকে জানা যায় যে কিমউলফ কমপক্ষে ২০২৫ সালের আগস্ট থেকে সক্রিয় এবং AISURU-এর একটি অ্যান্ড্রয়েড-ভিত্তিক বিবর্তনের প্রতিনিধিত্ব করে। গবেষকরা ক্রমবর্ধমানভাবে বিশ্বাস করেন যে এই বটনেট গত বছরের শেষের দিকে পর্যবেক্ষণ করা বেশ কয়েকটি রেকর্ড-ব্রেকিং DDoS প্রচারণাকে চালিত করেছিল।

বিশ্বব্যাপী সংক্রমণের পদচিহ্ন এবং লক্ষ্যযুক্ত ডিভাইস

যদিও কিমউলফের বিশ্বব্যাপী উপস্থিতি রয়েছে, তবুও সংক্রমণের হার ভিয়েতনাম, ব্রাজিল, ভারত এবং সৌদি আরবে বেশি। ক্ষতিগ্রস্ত সিস্টেমের একটি উল্লেখযোগ্য অংশ হল অনানুষ্ঠানিক অ্যান্ড্রয়েড স্মার্ট টিভি এবং সেট-টপ বক্স, যার মধ্যে অনেকগুলিই অনিরাপদ ডিফল্ট কনফিগারেশন সহ পাঠানো হয়।

কমপক্ষে ৬৭% সংযুক্ত ডিভাইস একটি অপ্রমাণিত অ্যান্ড্রয়েড ডিবাগ ব্রিজ (ADB) পরিষেবা প্রকাশ করে, যার ফলে সেগুলি রিমোট কন্ট্রোলের জন্য উন্মুক্ত থাকে। তদন্তকারীরা সন্দেহ করছেন যে এই পণ্যগুলির অনেকগুলি গ্রাহকদের কাছে পৌঁছানোর আগে প্রক্সি-সম্পর্কিত সফ্টওয়্যার ডেভেলপমেন্ট কিট (SDK) দিয়ে প্রিলোড করা থাকে, যা কার্যকরভাবে তাদের প্রক্সি ইকোসিস্টেমে তালিকাভুক্ত করে যা পরে ম্যালওয়্যারের জন্য ডেলিভারি চ্যানেলে পরিণত হয়।

কিমউলফ কীভাবে ছড়িয়ে পড়ে এবং নিয়ন্ত্রণ বজায় রাখে

কিমওয়াল্পের অপারেটররা উন্মুক্ত ADB পরিষেবা চালানোর জন্য অ্যান্ড্রয়েড ডিভাইসগুলির জন্য ইন্টারনেট স্ক্যান করার জন্য বৃহৎ আবাসিক প্রক্সি নেটওয়ার্কের উপর নির্ভর করে। একবার শনাক্ত হয়ে গেলে, ম্যালওয়্যার দূরবর্তীভাবে ইনস্টল করা হয়, যা ডিভাইসটিকে ট্র্যাফিক রিলে এবং আক্রমণ নোডে পরিণত করে। কোর পেলোড পোর্ট 40860-এ একটি শ্রোতা খোলে এবং 85.234.91[.]247:1337 এর সাথে আউটবাউন্ড যোগাযোগ স্থাপন করে, যেখান থেকে এটি অপারেশনাল কমান্ড গ্রহণ করে।

সম্প্রতি ২০২৫ সালের ডিসেম্বরে, চীন-ভিত্তিক IPIDEA থেকে ভাড়া করা প্রক্সি আইপি ঠিকানাগুলিতে সংক্রমণ সনাক্ত করা হয়েছিল, একটি প্রদানকারী যা নিজেকে বিশ্বের শীর্ষস্থানীয় আইপি প্রক্সি পরিষেবা হিসাবে বিজ্ঞাপন দেয় যেখানে প্রতিদিন ৬.১ মিলিয়নেরও বেশি রিফ্রেশ করা আইপি এবং প্রতিদিন ৬৯,০০০ নতুন ঠিকানা রয়েছে। আক্রমণকারীরা গ্রাহক-ইনস্টল করা প্রক্সি সফ্টওয়্যারের মাধ্যমে অভ্যন্তরীণ ডিভাইসগুলিতে পৌঁছানোর জন্য টানেল করছে এমন প্রমাণ বেরিয়ে আসার পর, ২৭ ডিসেম্বর, IPIDEA স্থানীয় নেটওয়ার্ক এবং সংবেদনশীল পোর্টগুলিতে অ্যাক্সেস ব্লক করে একটি সুরক্ষা আপডেট মোতায়েন করে।

এই কৌশলের ফলে সৃষ্ট এক্সপোজারকে বিশ্লেষকরা অভূতপূর্ব বলে বর্ণনা করেছেন, যা লক্ষ লক্ষ ভোক্তা সিস্টেমকে সরাসরি স্বয়ংক্রিয় শোষণের পথে ঠেলে দিয়েছে।

নগদীকরণ: প্রক্সি, পেলোড এবং পেইড আক্রমণ

শুরু থেকেই, কিমউলফের আর্থিক উদ্দেশ্য স্পষ্ট ছিল। অপারেটররা আক্রমণাত্মকভাবে তাদের অবকাঠামোর বাণিজ্যিকীকরণ করেছিল, একাধিক মাধ্যমে ক্ষতিগ্রস্থ ডিভাইসগুলিকে লাভজনক সম্পদে রূপান্তরিত করেছিল:

• আবাসিক প্রক্সি অ্যাক্সেস বিক্রি, প্রতি জিবিতে $0.20 বা সীমাহীন ব্যান্ডউইথের জন্য প্রতি মাসে প্রায় $1,400 হিসাবে সস্তায় বিজ্ঞাপন দেওয়া হয়েছিল, যা একাধিক প্রক্সি পরিষেবা থেকে প্রাথমিকভাবে গ্রহণকে আকর্ষণ করেছিল।
• সেকেন্ডারি মনিটাইজেশন SDK-এর স্থাপনা, বিশেষ করে প্লেইনপ্রক্সি বাইটকানেক্ট SDK, যা ১১৯টি ডেডিকেটেড রিলে সার্ভারের মাধ্যমে একটি কমান্ড সার্ভার থেকে সংক্রামিত ডিভাইসে প্রদত্ত প্রক্সি কাজগুলিকে রুট করে।
• সাইবার অপরাধের জন্য বটনেটের অপব্যবহার, যার মধ্যে রয়েছে বৃহৎ আকারের DDoS কার্যকলাপ এবং IMAP পরিষেবা এবং জনপ্রিয় অনলাইন প্ল্যাটফর্মগুলির বিরুদ্ধে ক্রেডেনশিয়াল-স্টাফিং প্রচারণা।

প্রাক-সংক্রমিত টিভি বক্সের উপস্থিতি এবং বাণিজ্যিক ব্যান্ডউইথ-শেয়ারিং SDK-এর একীকরণ দৃঢ়ভাবে বটনেট অপারেটর এবং প্রক্সি অর্থনীতির অংশগুলির মধ্যে গভীরতর সহযোগিতার ইঙ্গিত দেয়।

প্রতিরক্ষামূলক ব্যবস্থা এবং ঝুঁকি হ্রাস

অনুরূপ হুমকি প্রশমনের জন্য, পরিষেবা প্রদানকারী এবং শেষ-ব্যবহারকারী পরিবেশ উভয়ের ক্ষেত্রেই সমন্বিত পদক্ষেপ গ্রহণ করা প্রয়োজন:

• প্রক্সি নেটওয়ার্কগুলির উচিত RFC 1918 ঠিকানা পরিসরের জন্য নির্ধারিত ট্র্যাফিক ব্লক করা, যাতে বহিরাগত গ্রাহকরা অভ্যন্তরীণ ব্যক্তিগত নেটওয়ার্কগুলিতে পৌঁছাতে না পারেন যেখানে গ্রাহক ডিভাইসগুলি থাকে।
• সংস্থা এবং ব্যক্তিদের অবশ্যই অ্যান্ড্রয়েড সিস্টেমে, বিশেষ করে এমবেডেড এবং IoT-স্টাইলের ডিভাইসগুলিতে, যেগুলি প্রায়শই অনিরাপদ ডিফল্টের সাথে পাঠানো হয়, অননুমোদিত ADB অ্যাক্সেস নিষ্ক্রিয় বা সীমাবদ্ধ করতে হবে।

এই নিয়ন্ত্রণগুলি ছাড়া, আবাসিক প্রক্সি ইকোসিস্টেমগুলি বৃহৎ আকারের ম্যালওয়্যার স্থাপন এবং বটনেট সম্প্রসারণের জন্য আদর্শ কভার প্রদান করতে থাকবে।