Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Campanya de la botnet Kimwolf

Campanya de la botnet Kimwolf

El Mezo el Botnets
Traduir a:

Investigadors de seguretat han descobert una xarxa de bots massiva centrada en Android coneguda com a Kimwolf, que ha compromès més de dos milions de dispositius explotant xarxes proxy residencials. El programari maliciós transforma el maquinari de consum quotidià en una plataforma d'atac global, encaminant silenciosament el trànsit maliciós i permetent operacions de denegació de servei (DDoS) distribuïdes a gran escala. Les observacions mostren aproximadament 12 milions d'adreces IP úniques cada setmana, cosa que destaca l'abast extraordinari d'aquesta operació.

Orígens, evolució i vincles amb AISURU

Kimwolf es va analitzar públicament per primera vegada el desembre de 2025 , quan els investigadors van identificar forts vincles tècnics i d'infraestructura amb una altra botnet anomenada AISURU. L'evidència suggereix que Kimwolf ha estat actiu des d'almenys l'agost de 2025 i representa una evolució d'AISURU basada en Android. Els investigadors creuen cada cop més que aquesta botnet va impulsar diverses campanyes DDoS rècord observades cap a finals de l'any passat.

Petjada d’infecció global i dispositius dirigits

Tot i que Kimwolf té presència mundial, les infeccions es concentren principalment al Vietnam, Brasil, Índia i Aràbia Saudita. Una part important dels sistemes compromesos són televisors intel·ligents i descodificadors Android no oficials, molts dels quals s'envien amb configuracions predeterminades insegures.

Almenys el 67% dels dispositius connectats exposen un servei Android Debug Bridge (ADB) no autenticat, cosa que els deixa oberts al control remot. Els investigadors sospiten que molts d'aquests productes estan precarregats amb kits de desenvolupament de programari (SDK) relacionats amb el proxy abans d'arribar als consumidors, cosa que els inscriu efectivament en ecosistemes proxy que posteriorment es converteixen en canals de distribució de programari maliciós.

Com Kimwolf s’estén i manté el control

Els operadors de Kimwolf es basen en grans xarxes proxy residencials per escanejar Internet a la recerca de dispositius Android que executin serveis ADB exposats. Un cop identificat, el programari maliciós s'instal·la de forma remota, convertint el dispositiu en un relé de trànsit i un node d'atac. La càrrega útil principal obre un escoltador al port 40860 i estableix comunicació de sortida amb 85.234.91[.]247:1337, des del qual rep ordres operatives.

Tan recentment com el desembre del 2025, es van rastrejar infeccions fins a adreces IP proxy llogades a IPIDEA, amb seu a la Xina, un proveïdor que s'anuncia com el servei de proxy IP líder mundial amb més de 6,1 milions d'IP actualitzades diàriament i 69.000 adreces noves cada dia. El 27 de desembre, IPIDEA va implementar una actualització de seguretat que bloquejava l'accés a les xarxes locals i als ports sensibles després que sorgissin proves que els atacants estaven fent túnels a través del programari de proxy instal·lat pel client per arribar als dispositius interns.

L'exposició creada per aquesta tècnica va ser descrita pels analistes com a sense precedents, i va col·locar milions de sistemes de consum directament en el camí de l'explotació automatitzada.

Monetització: proxies, càrregues útils i atacs de pagament

Des del principi, els motius financers de Kimwolf eren clars. Els operadors van comercialitzar agressivament la seva infraestructura, convertint dispositius compromesos en actius generadors de beneficis a través de múltiples canals:

  • Venda d'accés proxy residencial, anunciat a un preu tan baix com 0,20 dòlars per GB o uns 1.400 dòlars al mes per un ample de banda il·limitat, que va atreure una adopció primerenca de múltiples serveis de proxy.
  • Implementació de SDK de monetització secundaris, en particular el SDK de Plainproxies Byteconnect, que enruta tasques de proxy de pagament des d'un servidor d'ordres a dispositius infectats a través de 119 servidors de retransmissió dedicats.
  • Abús de la botnet per a operacions de ciberdelinqüència, incloent-hi activitat DDoS a gran escala i campanyes de segrest de credencials observades contra serveis IMAP i plataformes en línia populars.

La presència de caixes de televisió preinfectades i la integració de SDK comercials de compartició d'ample de banda suggereixen fermament una col·laboració més profunda entre els operadors de botnets i segments de l'economia proxy.

Mesures defensives i reducció de riscos

Per mitigar amenaces similars, cal una acció coordinada tant entre els proveïdors de serveis com entre els entorns dels usuaris finals:

  • Les xarxes proxy haurien de bloquejar el trànsit destinat als rangs d'adreces RFC 1918, evitant que els clients externs arribin a les xarxes privades internes on resideixen els dispositius dels consumidors.
  • Les organitzacions i els individus han de desactivar o restringir l'accés no autenticat a ADB en sistemes Android, especialment en dispositius integrats i d'estil IoT que sovint s'envien amb valors predeterminats insegurs.

Sense aquests controls, els ecosistemes proxy residencials continuaran proporcionant una cobertura ideal per al desplegament de programari maliciós a gran escala i l'expansió de botnets.

Tendència

Més vist

Carregant...