Slevová nabídka pro více licencí
Databáze hrozeb Botnety Kimwolf Botnet

Kimwolf Botnet

V roce Mezo v roce Botnety
Přeložit do:

Odborníci na kybernetickou bezpečnost odhalili masivní distribuovaný botnet typu denial-of-service (DDoS) známý jako Kimwolf, který již infikoval přes 1,8 milionu zařízení. Mezi ně patří televizory, set-top boxy a tablety s operačním systémem Android. První vyšetřování naznačuje možné spojení s nechvalně známým botnetem AISURU. Objev zdůrazňuje rostoucí sofistikovanost malwaru zaměřeného na internet věcí a podtrhuje kritickou potřebu ostražitosti při ochraně připojených zařízení.

Anatomie Kimwolfa

Kimwolf je postaven s využitím sady Native Development Kit (NDK) a kombinuje řadu funkcí nad rámec tradičních DDoS útoků. Mezi klíčové vlastnosti patří:

  • Přesměrování proxy
  • Přístup k reverznímu shellu
  • Funkce správy souborů

Malware botnetu je navržen tak, aby spouštěl jeden proces na zařízení, dešifroval vestavěné domény Command-and-Control (C2), rozpoznával IP adresu C2 pomocí DNS-over-TLS a spouštěl příkazy přijaté od svých operátorů.

Rekordní rozsah a aktivita

Během pouhých tří dnů, od 19. do 22. listopadu 2025, Kimwolf údajně vydal 1,7 miliardy příkazů k DDoS útoku. Jedna z jeho domén C2, 14emeliaterracewestroxburyma02132[.]su, se dokonce krátce objevila mezi 100 nejlepšími doménami Cloudflare a dočasně tak překonala Google.

Mezi primární cíle infekce patří domácí televizní přijímače, jako například:

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Geograficky jsou infekce koncentrovány v Brazílii, Indii, USA, Argentině, Jižní Africe a na Filipínách, ačkoli přesný způsob šíření zůstává nejasný.

Evoluce a odolnost

Kimwolf prokazuje pokročilou přizpůsobivost. Jeho domény C2 byly v prosinci 2025 nejméně třikrát zablokovány, což vedlo operátory k přijetí domén Ethereum Name Service (ENS) k posílení infrastruktury. Nedávné verze malwaru obsahují EtherHiding, techniku, která získává skutečnou IP adresu C2 prostřednictvím chytrých smluv a transformuje ji pomocí operací XOR, což znemožňuje zablokování.

Připojení k AISURU a sdílené infrastruktuře

Důkazy spojují Kimwolf s botnetem AISURU, známým rekordními DDoS útoky:

  • Oba botnety koexistovaly na stejných infikovaných zařízeních mezi zářím a listopadem 2025.
  • Podobnosti v balíčcích APK a certifikátech pro podepisování kódu („John Dinglebert Dinglenut VIII VanSack Smith“) naznačují společný vývojový původ.
  • Server pro stahování (93.95.112[.]59) potvrdil přítomnost skriptů odkazujících na APK soubory Kimwolf i AISURU.

Tento vztah naznačuje, že jedna hackerská skupina potenciálně provozuje oba botnety, aby maximalizovala dosah a vyhnula se odhalení.

Útočné schopnosti a monetizace

Kimwolf podporuje 13 různých metod DDoS přes UDP, TCP a ICMP a cílí na země včetně USA, Číny, Francie, Německa a Kanady. Je zajímavé, že více než 96 % vydaných příkazů směřuje k použití infikovaných uzlů jako proxy služeb, což naznačuje silný ziskový motiv.

Mezi další komponenty nasazené na napadených zařízeních patří:

  • Příkazový klient založený na technologii Rust – vytváří proxy síť
  • ByteConnect SDK – monetizace IoT provozu pro vývojáře a majitele zařízení
  • Šifrování TLS zabezpečuje veškerou komunikaci a zároveň jsou šifrována citlivá data o serverech C2 a DNS resolverech, což zvyšuje provozní utajení.

Širší kontext obřích botnetů

Od vzniku Mirai v roce 2016 se obří botnety IoT výrazně vyvinuly. Rané verze se primárně zaměřovaly na širokopásmové routery a kamery, ale moderní botnety jako Badbox, Bigpanzi, Vo1d a Kimwolf se stále více zaměřují na chytré televizory a televizní přijímače, což odráží přesun zájmu útočníků směrem k vysokorychlostním spotřebitelským zařízením.

Trendy

Nejvíce shlédnuto

Načítání...