KadNap-malware
Cybersikkerhedsforskere har identificeret en nyligt fremvoksende malware-stamme kendt som KadNap, der primært er rettet mod Asus-routere og rekrutterer dem til et botnet, der er designet til at proxy-basere ondsindet internettrafik. Malwaren, der først blev observeret i naturen i august 2025, har allerede inficeret mere end 14.000 enheder på verdensplan. Analyser viser, at over 60 % af de kompromitterede systemer er placeret i USA, mens mindre klynger af infektioner er blevet opdaget i Taiwan, Hongkong, Rusland, Storbritannien, Australien, Brasilien, Frankrig, Italien og Spanien.
Selvom Asus-routere synes at være de primære mål, viser undersøgelser, at operatørerne bag KadNap har udvidet deres indsats til at omfatte en bredere vifte af edge-netværksenheder. Denne udvidelse tyder på et bevidst forsøg på at maksimere størrelsen og robustheden af botnet-infrastrukturen.
Indholdsfortegnelse
Peer-to-peer-skjuling gennem Kademlia-teknologi
Et definerende træk ved KadNap-operationen er dens afhængighed af en modificeret implementering af Kademlia Distributed Hash Table (DHT)-protokollen. Denne protokol er integreret i en peer-to-peer-arkitektur, der skjuler placeringen af botnettets infrastruktur ved at skjule kommandosystemer i distribuerede noder.
Kompromitterede enheder kommunikerer via DHT-netværket for at finde og oprette forbindelse til Command-and-Control (C2)-servere. Ved at sprede kommunikationen på tværs af et decentraliseret miljø undgår malwaren at være afhængig af et enkelt infrastrukturpunkt, hvilket komplicerer traditionelle detektions- og fjernelsesbestræbelser betydeligt. Tilgangen blander effektivt ondsindet trafik med legitim peer-to-peer-netværksaktivitet, hvilket gør overvågning og afbrydelse betydeligt vanskeligere for forsvarere.
Infektionsmekanisme og persistensstrategi
Infektionskæden starter med et shell-script ved navn aic.sh, som downloades fra en kommandoserver, der hostes på IP-adressen 212.104.141.140. Dette script starter processen med at integrere den kompromitterede enhed i botnettets peer-to-peer-økosystem.
Scriptet etablerer persistens ved at oprette et planlagt cron-job, der henter det samme script efter 55 minutter i hver time. Hver gang det downloades, omdøbes scriptet til '.asusrouter' og udføres. Når persistensen er sikret, downloader scriptet en ondsindet ELF-binærfil, omdøber den til kad og kører den, hvilket effektivt implementerer KadNap-malware-nyttelasten. Malwaren er blevet konstrueret til at fungere på enheder, der bruger både ARM- og MIPS-processorer, hvilket gør det muligt for den at kompromittere en bred vifte af routerarkitekturer.
Tidsbaseret peer-opdagelse og netværkskoordinering
KadNap har en mekanisme til synkronisering af aktivitet på tværs af sit decentraliserede netværk. Malwaren opretter forbindelse til en Network Time Protocol (NTP)-server for at hente den aktuelle systemtid og kombinerer den med den inficerede enheds oppetidsoplysninger. Disse værdier bruges til at generere en hash, der hjælper den inficerede enhed med at finde peers inden for det distribuerede netværk.
Denne proces gør det muligt for kompromitterede systemer at opdage andre noder, indhente instruktioner og downloade yderligere skadelige filer uden at være afhængige af en centraliseret kommandostruktur. Understøttende scripts som fwr.sh og /tmp/.sose udfører også yderligere opgaver, herunder deaktivering af port 22, den standard TCP-port, der bruges af Secure Shell (SSH), og udtrækning af lister over C2-serveradresser og portkombinationer, der bruges til yderligere kommunikation.
Kommercialisering af botnettet gennem proxytjenester
Når routere er kompromitteret, integreres de i et kommercielt proxynetværk, der markedsføres under navnet Doppelgänger via hjemmesiden doppelganger.shop. Sikkerhedsforskere vurderer denne tjeneste til at være en rebrandet version af Faceless, en proxyplatform, der tidligere var forbundet med TheMoon-malwaren.
Ifølge reklamemateriale udgivet af tjenesten tilbyder netværket proxy-adgang til private i mere end 50 lande og reklamerer med '100 % anonymitet' for brugerne. Det tyder på, at platformen blev lanceret omkring maj eller juni 2025. Infrastrukturen segmenterer inficerede enheder efter type og model, da ikke alle kompromitterede enheder kommunikerer med alle kommandoservere. Denne segmentering indikerer en struktureret og skalerbar botnet-styringsstrategi.
Proxy-netværket er allerede blevet observeret udnyttet af flere trusselsaktører. Det er dog stadig vanskeligt at identificere årsagen, fordi routere involveret i netværket nogle gange samtidig inficeres med yderligere malwarefamilier, hvilket tilslører, hvilken aktør der er ansvarlig for specifikke ondsindede aktiviteter.
Forsvarsforanstaltninger for routerejere
KadNaps fremgang fremhæver den voksende risiko, som dårligt sikrede edge-enheder udgør i både hjemme- og små kontormiljøer. Netværksforsvarere og individuelle brugere kan reducere eksponeringen betydeligt ved at implementere flere sikkerhedspraksisser:
- Vedligehold routere og netværksenheder med den nyeste firmware og sikkerhedsopdateringer.
- Genstart enheder med jævne mellemrum for at rydde midlertidige, skadelige processer, når det er relevant.
- Erstat standardoplysninger med stærke, unikke adgangskoder.
- Begræns og sikr administrative styringsgrænseflader.
- Udskift og udskift routere, der er nået til slutningen af deres levetid og ikke længere modtager sikkerhedsopdateringer fra leverandøren.
Et decentraliseret botnet designet til stealth
KadNap adskiller sig fra mange traditionelle botnets, der understøtter anonyme proxy-tjenester, ved at bruge en decentraliseret peer-to-peer-arkitektur. Ved at udnytte Kademlia DHT-protokollen distribuerer botnettet kontrol på tværs af inficerede enheder i stedet for at være afhængig af let identificerbare centraliserede servere.
Denne arkitektur giver operatører robuste kommunikationskanaler, der er betydeligt sværere at opdage, blokere eller afvikle. Det strategiske mål er klart: at opretholde operationel kontinuitet, undgå sikkerhedsovervågning og komplicere defensive indsatser for cybersikkerhedsteams.
