Programari maliciós de KadNap

Investigadors de ciberseguretat han identificat una nova soca de programari maliciós coneguda com a KadNap, que té com a objectiu principal els encaminadors Asus i els recluta a una xarxa de bots dissenyada per a intermediar el trànsit maliciós d'Internet. Observat per primera vegada a l'agost de 2025, el programari maliciós ja ha infectat més de 14.000 dispositius a tot el món. L'anàlisi indica que més del 60% dels sistemes compromesos es troben als Estats Units, mentre que s'han detectat grups d'infeccions més petits a Taiwan, Hong Kong, Rússia, el Regne Unit, Austràlia, Brasil, França, Itàlia i Espanya.

Tot i que els encaminadors Asus semblen ser els objectius principals, les investigacions mostren que els operadors que hi ha darrere de KadNap han ampliat els seus esforços per incloure una gamma més àmplia de dispositius de xarxa perimetral. Aquesta expansió suggereix un intent deliberat de maximitzar la mida i la resiliència de la infraestructura de la botnet.

Ocultació entre iguals mitjançant la tecnologia Kademlia

Una característica definidora de l'operació KadNap és la seva dependència d'una implementació modificada del protocol Kademlia Distributed Hash Table (DHT). Aquest protocol està integrat en una arquitectura peer-to-peer que oculta la ubicació de la infraestructura de la botnet amagant els sistemes de comandament dins dels nodes distribuïts.

Els dispositius compromesos es comuniquen a través de la xarxa DHT per descobrir i connectar-se als servidors de comandament i control (C2). En dispersar la comunicació a través d'un entorn descentralitzat, el programari maliciós evita la dependència d'un únic punt d'infraestructura, cosa que complica significativament els esforços tradicionals de detecció i eliminació. L'enfocament combina eficaçment el trànsit maliciós amb l'activitat legítima de la xarxa peer-to-peer, cosa que dificulta considerablement la supervisió i la interrupció per als defensors.

Mecanisme d’infecció i estratègia de persistència

La cadena d'infecció comença amb un script de shell anomenat aic.sh, que es descarrega des d'un servidor d'ordres allotjat a l'adreça IP 212.104.141.140. Aquest script inicia el procés d'integració del dispositiu compromès a l'ecosistema peer-to-peer de la botnet.

L'script estableix la persistència creant una tasca cron programada que recupera el mateix script al minut 55 de cada hora. Cada vegada que es descarrega, l'script es rebateja com a ".asusrouter" i s'executa. Un cop assegurada la persistència, l'script descarrega un binari ELF maliciós, el rebateja com a kad i l'executa, implementant efectivament la càrrega útil del programari maliciós KadNap. El programari maliciós ha estat dissenyat per funcionar en dispositius que utilitzen processadors ARM i MIPS, cosa que li permet comprometre una àmplia gamma d'arquitectures d'encaminadors.

Descobriment d’iguals basat en el temps i coordinació de xarxa

KadNap incorpora un mecanisme per sincronitzar l'activitat a través de la seva xarxa descentralitzada. El programari maliciós es connecta a un servidor de protocol de temps de xarxa (NTP) per recuperar l'hora actual del sistema i la combina amb la informació de temps de funcionament del dispositiu infectat. Aquests valors s'utilitzen per generar un hash que ajuda el dispositiu infectat a localitzar els companys dins de la xarxa distribuïda.

Aquest procés permet que els sistemes compromesos descobreixin altres nodes, obtinguin instruccions i descarreguin fitxers maliciosos addicionals sense dependre d'una estructura d'ordres centralitzada. Els scripts de suport com ara fwr.sh i /tmp/.sose també realitzen tasques addicionals, com ara la desactivació del port 22, el port TCP estàndard utilitzat per Secure Shell (SSH), i l'extracció de llistes de combinacions d'adreces i ports del servidor C2 utilitzades per a comunicacions posteriors.

Comercialització de la botnet a través de serveis de proxy

Un cop els encaminadors són compromesos, s'integren en una xarxa de proxy comercial comercialitzada amb el nom de Doppelgänger a través del lloc web doppelganger.shop. Els investigadors de seguretat avaluen aquest servei com una versió rebatejada de Faceless, una plataforma de proxy anteriorment associada amb el programari maliciós TheMoon.

Segons el material promocional publicat pel servei, la xarxa proporciona accés proxy residencial a més de 50 països i anuncia un "anonimat del 100%" per als usuaris. L'evidència suggereix que la plataforma es va llançar al voltant del maig o juny del 2025. La infraestructura segmenta els dispositius infectats per tipus i model, ja que no tots els dispositius compromesos es comuniquen amb tots els servidors d'ordres. Aquesta segmentació indica una estratègia de gestió de botnets estructurada i escalable.

Ja s'ha observat que la xarxa proxy està sent explotada per múltiples actors d'amenaces. Tanmateix, l'atribució continua sent difícil perquè els encaminadors implicats a la xarxa de vegades s'infecten simultàniament amb famílies de programari maliciós addicionals, cosa que enfosqueix quin actor és responsable d'activitats malicioses específiques.

Mesures defensives per als propietaris de routers

L'auge de KadNap posa de manifest el risc creixent que representen els dispositius perimetrals mal protegits, tant en entorns domèstics com en petites oficines. Els defensors de xarxa i els usuaris individuals poden reduir significativament l'exposició adoptant diverses pràctiques de seguretat:

• Mantingueu els encaminadors i els dispositius de xarxa amb les darreres actualitzacions de firmware i seguretat.
• Reinicieu els dispositius periòdicament per esborrar processos maliciosos temporals quan sigui necessari.
• Substitueix les credencials predeterminades per contrasenyes fortes i úniques.
• Restringir i assegurar les interfícies de gestió administrativa.
• Retirar i substituir els encaminadors que han arribat al final de la seva vida útil i ja no reben actualitzacions de seguretat del proveïdor.

Una botnet descentralitzada dissenyada per a la furtivitat

KadNap es distingeix de moltes botnets tradicionals que admeten serveis de proxy anònims per l'ús d'una arquitectura descentralitzada peer-to-peer. Aprofitant el protocol DHT de Kademlia, la botnet distribueix el control entre els dispositius infectats en lloc de dependre de servidors centralitzats fàcilment identificables.

Aquesta arquitectura proporciona als operadors canals de comunicació resilients que són significativament més difícils de detectar, bloquejar o desmantellar. L'objectiu estratègic és clar: mantenir la continuïtat operativa, evadir la vigilància de seguretat i complicar els esforços de resposta defensiva per als equips de ciberseguretat.