Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Botnet de Kimwolf

Botnet de Kimwolf

El Mezo el Botnets
Traduir a:

Experts en ciberseguretat han descobert una xarxa de bots de denegació de servei (DDoS) massiva coneguda com a Kimwolf, que ja ha inclòs més d'1,8 milions de dispositius infectats. Aquests inclouen televisors, descodificadors i tauletes basades en Android. Les primeres investigacions suggereixen una possible connexió amb la coneguda xarxa de bots AISURU. El descobriment destaca la creixent sofisticació del programari maliciós dirigit a la IoT i subratlla la necessitat crítica de vigilància en la protecció dels dispositius connectats.

Anatomia de Kimwolf

Kimwolf està construït amb el Native Development Kit (NDK) i combina múltiples capacitats més enllà dels atacs DDoS tradicionals. Les característiques clau inclouen:

  • Reenviament de proxy
  • Accés invers a la shell
  • Funcions de gestió de fitxers

El programari maliciós de la botnet està dissenyat per executar un únic procés per dispositiu, desxifrar els dominis de comandament i control (C2) integrats, resoldre la IP C2 mitjançant DNS sobre TLS i executar ordres rebudes dels seus operadors.

Escala i activitat rècord

En només tres dies, del 19 al 22 de novembre de 2025, Kimwolf va emetre 1.700 milions d'ordres d'atac DDoS. Un dels seus dominis C2, 14emeliaterracewestroxburyma02132[.]su, fins i tot va aparèixer breument entre els 100 dominis principals de Cloudflare, superant temporalment Google.

Els principals objectius d'infecció inclouen descodificadors de televisió residencials com ara:

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Geogràficament, les infeccions es concentren al Brasil, l'Índia, els EUA, l'Argentina, Sud-àfrica i les Filipines, tot i que el mètode exacte de propagació encara no està clar.

Evolució i resiliència

Kimwolf demostra una adaptabilitat avançada. Els seus dominis C2 han estat eliminats almenys tres vegades el desembre de 2025, cosa que ha impulsat els operadors a adoptar dominis Ethereum Name Service (ENS) per enfortir la infraestructura. Les versions recents del programari maliciós incorporen EtherHiding, una tècnica que obté la IP C2 real mitjançant contractes intel·ligents i la transforma mitjançant operacions XOR, cosa que dificulta molt les eliminacions.

Connexió a AISURU i infraestructura compartida

Les proves vinculen Kimwolf amb la botnet AISURU, coneguda per atacs DDoS rècord:

  • Ambdues botnets van coexistir en els mateixos dispositius infectats entre setembre i novembre de 2025.
  • Les similituds entre els paquets APK i els certificats de signatura de codi ('John Dinglebert Dinglenut VIII VanSack Smith') suggereixen un origen de desenvolupament compartit.
  • Un servidor de descàrrega (93.95.112[.]59) va confirmar la presència de scripts que feien referència tant a les APK de Kimwolf com a les d'AISURU.

Aquesta relació suggereix un únic grup de pirates informàtics que podria operar ambdues botnets per maximitzar l'abast i evadir la detecció.

Capacitats d’atac i monetització

Kimwolf admet 13 mètodes DDoS diferents sobre UDP, TCP i ICMP, dirigits a països com els EUA, la Xina, França, Alemanya i el Canadà. Curiosament, més del 96% de les ordres emeses es dirigeixen a utilitzar nodes infectats com a serveis proxy, cosa que indica un fort ànim de lucre.

Els components addicionals implementats en dispositius compromesos inclouen:

  • Client de comandaments basat en Rust: crea una xarxa proxy
  • SDK de ByteConnect: monetitza el trànsit IoT per a desenvolupadors i propietaris de dispositius
  • El xifratge TLS protegeix totes les comunicacions, mentre que les dades sensibles sobre els servidors C2 i els resolutors DNS també es xifren, cosa que augmenta el secret operatiu.

El context més ampli de les botnets gegants

Des de l'aparició de Mirai el 2016, les botnets gegants de la IoT han evolucionat significativament. Les primeres versions es dirigien principalment a encaminadors i càmeres de banda ampla, però les botnets modernes com Badbox, Bigpanzi, Vo1d i Kimwolf se centren cada cop més en televisors intel·ligents i caixes de televisió, cosa que reflecteix els canvis d'interès dels atacants cap als dispositius de consum d'alta amplada de banda.

Tendència

Més vist

Carregant...