Slevová nabídka pro více licencí
Databáze hrozeb Botnety Kampaň Kimwolf Botnet

Kampaň Kimwolf Botnet

V roce Mezo v roce Botnety
Přeložit do:

Bezpečnostní výzkumníci odhalili masivní botnet zaměřený na Android, známý jako Kimwolf, který napadl přes dva miliony zařízení zneužíváním rezidenčních proxy sítí. Malware transformuje běžný spotřební hardware na globální útočnou platformu, tiše směruje škodlivý provoz a umožňuje rozsáhlé distribuované operace typu denial-of-service (DDoS). Pozorování ukazují zhruba 12 milionů unikátních IP adres každý týden, což zdůrazňuje mimořádný rozsah této operace.

Počátky, vývoj a vazby na AISURU

Kimwolf byl poprvé veřejně analyzován v prosinci 2025 , kdy vyšetřovatelé identifikovali silné technické a infrastrukturní vazby na jiný botnet s názvem AISURU. Důkazy naznačují, že Kimwolf je aktivní nejméně od srpna 2025 a představuje evoluci AISURU založenou na Androidu. Výzkumníci se stále více domnívají, že tento botnet poháněl několik rekordních DDoS kampaní pozorovaných ke konci loňského roku.

Globální infekční stopa a cílená zařízení

Přestože má Kimwolf celosvětovou přítomnost, infekce jsou silně koncentrovány ve Vietnamu, Brazílii, Indii a Saúdské Arábii. Významnou část napadených systémů tvoří neoficiální chytré televizory a set-top boxy s Androidem, z nichž mnohé jsou dodávány s nezabezpečenou výchozí konfigurací.

Nejméně 67 % připojených zařízení je vystaveno neověřené službě Android Debug Bridge (ADB), což je činí dostupnými pro vzdálené ovládání. Vyšetřovatelé se domnívají, že mnoho z těchto produktů je předem nainstalováno sadami pro vývoj softwaru (SDK) souvisejícími s proxy, než se dostane k zákazníkům, čímž je efektivně zaregistruje do ekosystémů proxy, které se později stávají distribučními kanály pro malware.

Jak Kimwolf šíří a udržuje si kontrolu

Provozovatelé společnosti Kimwolf se spoléhají na velké rezidenční proxy sítě, které skenují internet a hledají zařízení Android s exponovanými službami ADB. Po identifikaci je malware instalován vzdáleně, čímž se zařízení promění v uzel pro přenos dat a útok. Základní datová část otevře posluchač na portu 40860 a naváže odchozí komunikaci s adresou 85.234.91[.]247:1337, ze které přijímá operační příkazy.

Ještě v prosinci 2025 byly infekce vysledovány k proxy IP adresám pronajatým od čínské společnosti IPIDEA, poskytovatele, který se prezentuje jako přední světová IP proxy služba s více než 6,1 miliony denně aktualizovaných IP adres a 69 000 novými adresami. Dne 27. prosince společnost IPIDEA nasadila bezpečnostní aktualizaci blokující přístup k místním sítím a citlivým portům poté, co se objevily důkazy o tom, že útočníci tunelují prostřednictvím proxy softwaru nainstalovaného zákazníky, aby se dostali k interním zařízením.

Expozice vytvořená touto technikou byla analytiky popsána jako bezprecedentní, jelikož miliony spotřebitelských systémů se přímo ocitly v cestě automatizovanému zneužití.

Monetizace: Proxy, užitečné zatížení a placené útoky

Finanční motivy společnosti Kimwolf byly od samého začátku jasné. Provozovatelé agresivně komercializovali svou infrastrukturu a proměňovali kompromitovaná zařízení v aktiva generující zisk prostřednictvím několika kanálů:

  • Prodej rezidenčního proxy přístupu, inzerovaný za pouhých 0,20 USD za GB nebo přibližně 1 400 USD měsíčně za neomezenou šířku pásma, což přilákalo brzké přijetí od mnoha proxy služeb.
  • Nasazení sekundárních monetizačních SDK, zejména Plainproxies Byteconnect SDK, které směruje placené proxy úlohy z příkazového serveru na infikovaná zařízení prostřednictvím 119 dedikovaných relay serverů.
  • Zneužívání botnetu pro kyberkriminální operace, včetně rozsáhlých DDoS aktivit a pozorovaných kampaní za účelem zneužití přihlašovacích údajů proti službám IMAP a populárním online platformám.

Přítomnost předem infikovaných televizních přijímačů a integrace komerčních SDK pro sdílení šířky pásma silně naznačuje prohlubující se spolupráci mezi provozovateli botnetů a segmenty proxy ekonomiky.

Obranná opatření a snižování rizik

Pro zmírnění podobných hrozeb je nutná koordinovaná akce napříč poskytovateli služeb i koncovými uživateli:

  • Proxy sítě by měly blokovat provoz směřující do adresních rozsahů RFC 1918 a zabránit tak externím zákazníkům v přístupu k interním privátním sítím, kde se nacházejí spotřebitelská zařízení.
  • Organizace a jednotlivci musí zakázat nebo omezit neověřený přístup k ADB v systémech Android, zejména u vestavěných zařízení a zařízení typu IoT, která se často dodávají s nezabezpečenými výchozími nastaveními.

Bez těchto kontrol budou rezidenční proxy ekosystémy i nadále poskytovat ideální krytí pro rozsáhlé nasazení malwaru a expanzi botnetů.

Trendy

Nejvíce shlédnuto

Načítání...