Rabattilbud med flere licenser
Trusseldatabase Botnets Kimwolf Botnet-kampagne

Kimwolf Botnet-kampagne

Med Mezo i Botnets
Oversæt til:

Sikkerhedsforskere har afdækket et massivt Android-fokuseret botnet kendt som Kimwolf, som har kompromitteret over to millioner enheder ved at udnytte private proxy-netværk. Malwaren omdanner almindelig forbrugerhardware til en global angrebsplatform, der i al hemmelighed dirigerer ondsindet trafik og muliggør storstilede distribuerede denial-of-service (DDoS)-operationer. Observationer viser cirka 12 millioner unikke IP-adresser hver uge, hvilket understreger det ekstraordinære omfang af denne operation.

Oprindelse, udvikling og links til AISURU

Kimwolf blev første gang offentligt analyseret i december 2025 , hvor efterforskere identificerede stærke tekniske og infrastrukturelle forbindelser til et andet botnet kaldet AISURU. Beviser tyder på, at Kimwolf har været aktiv siden mindst august 2025 og repræsenterer en Android-baseret udvikling af AISURU. Forskere mener i stigende grad, at dette botnet drev adskillige rekordbrydende DDoS-kampagner, der blev observeret mod slutningen af sidste år.

Globalt infektionsfodaftryk og målrettede enheder

Selvom Kimwolf har en verdensomspændende tilstedeværelse, er infektionerne stærkt koncentreret i Vietnam, Brasilien, Indien og Saudi-Arabien. En betydelig del af de kompromitterede systemer er uofficielle Android smart-tv'er og set-top-bokse, hvoraf mange leveres med usikre standardkonfigurationer.

Mindst 67 % af tilsluttede enheder eksponerer en uautoriseret Android Debug Bridge (ADB)-tjeneste, hvilket gør dem åbne for fjernbetjening. Efterforskere har mistanke om, at mange af disse produkter er forudinstalleret med proxy-relaterede softwareudviklingskits (SDK'er), før de når forbrugerne, hvilket effektivt tilmelder dem til proxy-økosystemer, der senere bliver leveringskanaler for malware.

Hvordan Kimwolf spreder og opretholder kontrol

Kimwolfs operatører er afhængige af store private proxy-netværk til at scanne internettet for Android-enheder, der kører eksponerede ADB-tjenester. Når malware er identificeret, installeres den eksternt, hvilket forvandler enheden til et trafikrelæ og en angrebsnode. Kerne-nyttelasten åbner en lytter på port 40860 og etablerer udgående kommunikation med 85.234.91[.]247:1337, hvorfra den modtager operationelle kommandoer.

Så sent som i december 2025 blev infektioner sporet til proxy-IP-adresser lejet fra det kinesiske IPIDEA, en udbyder, der reklamerer for at være verdens førende IP-proxytjeneste med over 6,1 millioner dagligt opdaterede IP'er og 69.000 nye adresser hver dag. Den 27. december implementerede IPIDEA en sikkerhedsopdatering, der blokerede adgang til lokale netværk og følsomme porte, efter at der var kommet beviser for, at angribere tunnelerede gennem kundeinstalleret proxysoftware for at nå interne enheder.

Den eksponering, som denne teknik skabte, blev af analytikere beskrevet som hidtil uset, idet den satte millioner af forbrugersystemer direkte i vejen for automatiseret udnyttelse.

Monetisering: Proxyer, nyttelaster og betalte angreb

Fra starten var Kimwolfs økonomiske motiver klare. Operatørerne kommercialiserede aggressivt deres infrastruktur og forvandlede kompromitterede enheder til profitgenererende aktiver gennem flere kanaler:

  • Salg af proxy-adgang til private, annonceret til en billig pris på $0,20 pr. GB eller omkring $1.400 pr. måned for ubegrænset båndbredde, hvilket tiltrak tidlig adoption fra flere proxy-tjenester.
  • Implementering af sekundære monetiserings-SDK'er, især Plainproxies Byteconnect SDK, som sender betalte proxyopgaver fra en kommandoserver til inficerede enheder via 119 dedikerede relæservere.
  • Misbrug af botnettet til cyberkriminalitetsoperationer, herunder storstilet DDoS-aktivitet og observerede kampagner for at stjæle legitimationsoplysninger mod IMAP-tjenester og populære onlineplatforme.

Tilstedeværelsen af præinficerede tv-bokse og integrationen af kommercielle SDK'er til båndbreddedeling tyder stærkt på et uddybet samarbejde mellem botnetoperatører og segmenter af proxyøkonomien.

Forsvarsforanstaltninger og risikoreduktion

For at afbøde lignende trusler kræves der koordinerede handlinger på tværs af både tjenesteudbydere og slutbrugermiljøer:

  • Proxy-netværk bør blokere trafik, der er bestemt til RFC 1918-adresseområder, hvilket forhindrer eksterne kunder i at nå interne private netværk, hvor forbrugerenheder befinder sig.
  • Organisationer og enkeltpersoner skal deaktivere eller begrænse uautoriseret ADB-adgang på Android-systemer, især indlejrede enheder og IoT-enheder, der ofte leveres med usikre standardindstillinger.

Uden disse kontroller vil private proxy-økosystemer fortsat være den ideelle dækning for storstilet implementering af malware og botnet-ekspansion.

Trending

Mest sete

Indlæser...