Kimwolf Botnet
Cybersikkerhedseksperter har afsløret et massivt distribueret denial-of-service (DDoS) botnet kendt som Kimwolf, som allerede har registreret over 1,8 millioner inficerede enheder. Disse inkluderer Android-baserede tv'er, set-top-bokse og tablets. Tidlige undersøgelser tyder på en potentiel forbindelse til det berygtede AISURU botnet. Opdagelsen fremhæver den stigende sofistikering af IoT-målrettet malware og understreger det kritiske behov for årvågenhed i beskyttelsen af forbundne enheder.
Indholdsfortegnelse
Kimwolfs anatomi
Kimwolf er bygget ved hjælp af Native Development Kit (NDK) og kombinerer flere funktioner ud over traditionelle DDoS-angreb. Nøglefunktioner inkluderer:
- Proxy-videresendelse
- Omvendt shell-adgang
- Filhåndteringsfunktioner
Botnettets malware er designet til at køre en enkelt proces pr. enhed, dekryptere integrerede Command-and-Control (C2) domæner, løse C2 IP'en ved hjælp af DNS-over-TLS og udføre kommandoer modtaget fra dets operatører.
Rekordstor skala og aktivitet
På bare tre dage, fra 19. til 22. november 2025, udstedte Kimwolf angiveligt 1,7 milliarder DDoS-angrebskommandoer. Et af dets C2-domæner, 14emeliaterracewestroxburyma02132[.]su, optrådte endda kortvarigt blandt Cloudflares top 100-domæner og overhalede dermed midlertidigt Google.
Primære infektionsmål omfatter tv-bokse til private hjem, såsom:
- TV-BOKS, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Geografisk er infektionerne koncentreret i Brasilien, Indien, USA, Argentina, Sydafrika og Filippinerne, selvom den nøjagtige spredningsmetode stadig er uklar.
Evolution og modstandsdygtighed
Kimwolf demonstrerer avanceret tilpasningsevne. Dens C2-domæner er blevet taget ned mindst tre gange i december 2025, hvilket har fået operatørerne til at implementere Ethereum Name Service (ENS)-domæner for at styrke infrastrukturen. Nyere versioner af malwaren inkorporerer EtherHiding, en teknik, der henter den faktiske C2 IP via smarte kontrakter og transformerer den gennem XOR-operationer, hvilket gør nedtagninger langt vanskeligere.
Forbindelse til AISURU og delt infrastruktur
Beviser forbinder Kimwolf med AISURU-botnettet, kendt for rekordstore DDoS-angreb:
- Begge botnet eksisterede side om side på de samme inficerede enheder mellem september og november 2025.
- Ligheder i APK-pakker og kodesigneringscertifikater ('John Dinglebert Dinglenut VIII VanSack Smith') antyder en fælles udviklingsoprindelse.
- En downloader-server (93.95.112[.]59) bekræftede tilstedeværelsen af scripts, der refererer til både Kimwolf- og AISURU-APK'er.
Dette forhold antyder, at en enkelt hackergruppe potentielt driver begge botnet for at maksimere rækkevidden og undgå opdagelse.
Angrebskapaciteter og monetisering
Kimwolf understøtter 13 forskellige DDoS-metoder via UDP, TCP og ICMP, og er rettet mod lande som USA, Kina, Frankrig, Tyskland og Canada. Interessant nok er over 96% af de udstedte kommandoer rettet mod at bruge inficerede noder som proxytjenester, hvilket indikerer et stærkt profitmotiv.
Yderligere komponenter, der er installeret på kompromitterede enheder, omfatter:
- Rust-baseret kommandoklient – bygger et proxy-netværk
- ByteConnect SDK – tjener penge på IoT-trafik for udviklere og enhedsejere
- TLS-kryptering sikrer al kommunikation, mens følsomme data om C2-servere og DNS-resolvere også krypteres, hvilket øger operationel stealth.
Den bredere kontekst af gigantiske botnets
Siden Mirais fremkomst i 2016 har gigantiske IoT-botnet udviklet sig markant. Tidlige versioner var primært rettet mod bredbåndsroutere og kameraer, men moderne botnet som Badbox, Bigpanzi, Vo1d og Kimwolf fokuserer i stigende grad på smart-tv'er og tv-bokse, hvilket afspejler angribernes skiftende interesse mod forbrugerenheder med høj båndbredde.
