Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Botnets Kimwolf Botnet

Kimwolf Botnet

Μέχρι το Mezo το Botnets
Μετάφραση σε:

Ειδικοί στον κυβερνοχώρο αποκάλυψαν ένα τεράστιο κατανεμημένο botnet άρνησης υπηρεσίας (DDoS), γνωστό ως Kimwolf, το οποίο έχει ήδη εντάξει πάνω από 1,8 εκατομμύρια μολυσμένες συσκευές. Σε αυτές περιλαμβάνονται τηλεοράσεις, αποκωδικοποιητές και tablet με λειτουργικό σύστημα Android. Οι πρώτες έρευνες υποδηλώνουν μια πιθανή σύνδεση με το διαβόητο botnet AISURU. Η ανακάλυψη υπογραμμίζει την αυξανόμενη πολυπλοκότητα του κακόβουλου λογισμικού που στοχεύει στο IoT και υπογραμμίζει την κρίσιμη ανάγκη για επαγρύπνηση στην προστασία των συνδεδεμένων συσκευών.

Ανατομία του Kimwolf

Το Kimwolf έχει κατασκευαστεί χρησιμοποιώντας το Native Development Kit (NDK) και συνδυάζει πολλαπλές δυνατότητες πέρα από τις παραδοσιακές επιθέσεις DDoS. Τα βασικά χαρακτηριστικά περιλαμβάνουν:

  • Προώθηση μέσω proxy
  • Αντίστροφη πρόσβαση στο κέλυφος
  • Λειτουργίες διαχείρισης αρχείων

Το κακόβουλο λογισμικό του botnet έχει σχεδιαστεί για να εκτελεί μία μόνο διεργασία ανά συσκευή, να αποκρυπτογραφεί τους ενσωματωμένους τομείς Command-and-Control (C2), να επιλύει την IP C2 χρησιμοποιώντας DNS-over-TLS και να εκτελεί εντολές που λαμβάνονται από τους χειριστές του.

Κλίμακα και Δραστηριότητα που Σπάει Ρεκόρ

Σε μόλις τρεις ημέρες, από τις 19 έως τις 22 Νοεμβρίου 2025, η Kimwolf φέρεται να εξέδωσε 1,7 δισεκατομμύρια εντολές επίθεσης DDoS. Ένα από τα C2 domains της, το 14emeliaterracewestroxburyma02132[.]su, εμφανίστηκε ακόμη και για λίγο ανάμεσα στα 100 κορυφαία domains του Cloudflare, ξεπερνώντας προσωρινά την Google.

Οι κύριοι στόχοι μόλυνσης περιλαμβάνουν οικιακούς δέκτες τηλεόρασης όπως:

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Γεωγραφικά, οι μολύνσεις συγκεντρώνονται στη Βραζιλία, την Ινδία, τις ΗΠΑ, την Αργεντινή, τη Νότια Αφρική και τις Φιλιππίνες, αν και η ακριβής μέθοδος διάδοσης παραμένει ασαφής.

Εξέλιξη και Ανθεκτικότητα

Το Kimwolf επιδεικνύει προηγμένη προσαρμοστικότητα. Τα domains C2 του έχουν καταργηθεί τουλάχιστον τρεις φορές τον Δεκέμβριο του 2025, ωθώντας τους παρόχους να υιοθετήσουν τα domains Ethereum Name Service (ENS) για την ενίσχυση της υποδομής. Πρόσφατες εκδόσεις του κακόβουλου λογισμικού ενσωματώνουν το EtherHiding, μια τεχνική που ανακτά την πραγματική διεύθυνση IP C2 μέσω έξυπνων συμβολαίων και τη μετασχηματίζει μέσω λειτουργιών XOR, καθιστώντας τις καταργήσεις πολύ πιο δύσκολες.

Σύνδεση με AISURU και Κοινή Υποδομή

Στοιχεία που συνδέουν την Kimwolf με το botnet AISURU, γνωστό για τις πρωτοφανείς επιθέσεις DDoS:

  • Και τα δύο botnets συνυπήρχαν στις ίδιες μολυσμένες συσκευές μεταξύ Σεπτεμβρίου και Νοεμβρίου 2025.
  • Οι ομοιότητες στα πακέτα APK και τα πιστοποιητικά υπογραφής κώδικα («John Dinglebert Dinglenut VIII VanSack Smith») υποδηλώνουν κοινή προέλευση ανάπτυξης.
  • Ένας διακομιστής λήψης (93.95.112[.]59) επιβεβαίωσε την παρουσία σεναρίων που αναφέρονταν σε APK τόσο στο Kimwolf όσο και στο AISURU.

Αυτή η σχέση υποδηλώνει ότι μια ενιαία ομάδα χάκερ ενδεχομένως να λειτουργεί και τα δύο botnets για να μεγιστοποιήσει την εμβέλεια και να αποφύγει τον εντοπισμό.

Δυνατότητες επίθεσης και δημιουργία εσόδων

Το Kimwolf υποστηρίζει 13 ξεχωριστές μεθόδους DDoS μέσω UDP, TCP και ICMP, στοχεύοντας σε χώρες όπως οι ΗΠΑ, η Κίνα, η Γαλλία, η Γερμανία και ο Καναδάς. Είναι ενδιαφέρον ότι πάνω από το 96% των εντολών που εκδίδονται στοχεύουν στη χρήση μολυσμένων κόμβων ως υπηρεσιών proxy, γεγονός που υποδηλώνει ισχυρό κίνητρο κέρδους.

Πρόσθετα στοιχεία που έχουν αναπτυχθεί σε συσκευές που έχουν παραβιαστεί περιλαμβάνουν:

  • Πρόγραμμα-πελάτης εντολών που βασίζεται σε Rust – δημιουργεί ένα δίκτυο proxy
  • ByteConnect SDK – δημιουργεί έσοδα από την κίνηση IoT για προγραμματιστές και κατόχους συσκευών
  • Η κρυπτογράφηση TLS ασφαλίζει όλες τις επικοινωνίες, ενώ ευαίσθητα δεδομένα σχετικά με τους διακομιστές C2 και τους αναλυτές DNS κρυπτογραφούνται επίσης, αυξάνοντας την επιχειρησιακή μυστικότητα.

Το ευρύτερο πλαίσιο των γιγαντιαίων botnets

Από την εμφάνιση του Mirai το 2016, τα γιγαντιαία botnet του IoT έχουν εξελιχθεί σημαντικά. Οι πρώτες εκδόσεις στόχευαν κυρίως σε ευρυζωνικούς δρομολογητές και κάμερες, αλλά τα σύγχρονα botnets όπως τα Badbox, Bigpanzi, Vo1d και Kimwolf επικεντρώνονται ολοένα και περισσότερο σε έξυπνες τηλεοράσεις και τηλεοράσεις, αντανακλώντας τη μετατόπιση των ενδιαφερόντων των επιτιθέμενων προς συσκευές καταναλωτών υψηλού εύρους ζώνης.

Τάσεις

Κακόβουλο λογισμικό EtherRAT

Εργαλεία απομακρυσμένης διαχείρισης, Προηγμένη επίμονη απειλή (APT)
Μια πρόσφατα αποκαλυφθείσα απειλητική εκστρατεία που συνδέεται με βορειοκορεάτες παρόχους πιστεύεται ότι εκμεταλλεύεται την κρίσιμη ευπάθεια React2Shell (RSC) για να αναπτύξει ένα προηγουμένως...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
30,200
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...