بدافزار KadNap

محققان امنیت سایبری یک بدافزار نوظهور به نام KadNap را شناسایی کرده‌اند که در درجه اول روترهای ایسوس را هدف قرار می‌دهد و آنها را به یک بات‌نت که برای پراکسی کردن ترافیک اینترنتی مخرب طراحی شده است، جذب می‌کند. این بدافزار که اولین بار در آگوست 2025 مشاهده شد، تاکنون بیش از 14000 دستگاه را در سراسر جهان آلوده کرده است. تجزیه و تحلیل نشان می‌دهد که بیش از 60٪ از سیستم‌های آلوده در ایالات متحده قرار دارند، در حالی که خوشه‌های کوچکتری از آلودگی‌ها در تایوان، هنگ کنگ، روسیه، انگلستان، استرالیا، برزیل، فرانسه، ایتالیا و اسپانیا شناسایی شده‌اند.

اگرچه به نظر می‌رسد روترهای ایسوس اهداف اصلی باشند، تحقیقات نشان می‌دهد که اپراتورهای پشت KadNap تلاش‌های خود را برای گنجاندن طیف وسیع‌تری از دستگاه‌های شبکه لبه گسترش داده‌اند. این گسترش نشان‌دهنده تلاشی عمدی برای به حداکثر رساندن اندازه و انعطاف‌پذیری زیرساخت بات‌نت است.

پنهان‌سازی نظیر به نظیر از طریق فناوری کادملیا

یکی از ویژگی‌های بارز عملیات KadNap، اتکای آن به پیاده‌سازی اصلاح‌شده‌ی پروتکل Kademlia Distributed Hash Table (DHT) است. این پروتکل در یک معماری نظیر به نظیر ادغام شده است که با پنهان کردن سیستم‌های فرماندهی در گره‌های توزیع‌شده، مکان زیرساخت بات‌نت را پنهان می‌کند.

دستگاه‌های آلوده از طریق شبکه DHT ارتباط برقرار می‌کنند تا سرورهای فرماندهی و کنترل (C2) را کشف و به آنها متصل شوند. با پراکنده کردن ارتباطات در یک محیط غیرمتمرکز، این بدافزار از اتکا به یک نقطه زیرساختی واحد اجتناب می‌کند و تلاش‌های سنتی برای شناسایی و حذف را به طور قابل توجهی پیچیده می‌کند. این رویکرد به طور مؤثر ترافیک مخرب را با فعالیت مشروع شبکه نظیر به نظیر ترکیب می‌کند و نظارت و اختلال را برای مدافعان به طور قابل توجهی دشوارتر می‌کند.

مکانیسم عفونت و استراتژی پایداری

زنجیره‌ی آلودگی با یک اسکریپت shell به نام aic.sh آغاز می‌شود که از یک سرور فرماندهی با آدرس IP 212.104.141.140 دانلود می‌شود. این اسکریپت فرآیند ادغام دستگاه آسیب‌دیده در اکوسیستم نظیر به نظیر بات‌نت را آغاز می‌کند.

این اسکریپت با ایجاد یک cron job برنامه‌ریزی‌شده که اسکریپت مشابه را در دقیقه ۵۵ هر ساعت بازیابی می‌کند، پایداری را برقرار می‌کند. هر بار که دانلود می‌شود، اسکریپت به '.asusrouter' تغییر نام داده و اجرا می‌شود. پس از ایمن‌سازی پایداری، اسکریپت یک فایل باینری ELF مخرب را دانلود می‌کند، نام آن را به kad تغییر می‌دهد و آن را اجرا می‌کند و عملاً بار داده بدافزار KadNap را مستقر می‌کند. این بدافزار به گونه‌ای مهندسی شده است که بر روی دستگاه‌هایی که از پردازنده‌های ARM و MIPS استفاده می‌کنند، عمل کند و به آن امکان می‌دهد طیف گسترده‌ای از معماری‌های روتر را به خطر بیندازد.

کشف همتا و هماهنگی شبکه مبتنی بر زمان

KadNap مکانیزمی برای همگام‌سازی فعالیت‌ها در سراسر شبکه غیرمتمرکز خود دارد. این بدافزار به یک سرور پروتکل زمان شبکه (NTP) متصل می‌شود تا زمان فعلی سیستم را بازیابی کند و آن را با اطلاعات زمان روشن بودن دستگاه آلوده ترکیب کند. این مقادیر برای تولید هش استفاده می‌شوند که به دستگاه آلوده کمک می‌کند تا دستگاه‌های همتا را در شبکه توزیع‌شده پیدا کند.

این فرآیند سیستم‌های آسیب‌دیده را قادر می‌سازد تا گره‌های دیگر را کشف کنند، دستورالعمل‌ها را دریافت کنند و فایل‌های مخرب اضافی را بدون تکیه بر یک ساختار فرمان متمرکز دانلود کنند. اسکریپت‌های پشتیبانی مانند fwr.sh و /tmp/.sose همچنین وظایف دیگری را انجام می‌دهند، از جمله غیرفعال کردن پورت ۲۲، پورت استاندارد TCP مورد استفاده توسط Secure Shell (SSH)، و استخراج لیست آدرس‌های سرور C2 و ترکیبات پورت مورد استفاده برای ارتباطات بیشتر.

تجاری‌سازی بات‌نت از طریق سرویس‌های پروکسی

پس از نفوذ به روترها، آنها در یک شبکه پروکسی تجاری که با نام Doppelganger از طریق وب‌سایت doppelganger.shop به بازار عرضه می‌شود، ادغام می‌شوند. محققان امنیتی این سرویس را نسخه‌ای تغییر نام یافته از Faceless، یک پلتفرم پروکسی که قبلاً با بدافزار TheMoon مرتبط بود، ارزیابی می‌کنند.

طبق مطالب تبلیغاتی منتشر شده توسط این سرویس، این شبکه دسترسی پروکسی مسکونی را در بیش از ۵۰ کشور فراهم می‌کند و «ناشناس بودن ۱۰۰٪» را برای کاربران تبلیغ می‌کند. شواهد نشان می‌دهد که این پلتفرم حدود ماه مه یا ژوئن ۲۰۲۵ راه‌اندازی شده است. این زیرساخت، دستگاه‌های آلوده را بر اساس نوع و مدل بخش‌بندی می‌کند، زیرا هر دستگاه آلوده با هر سرور فرماندهی ارتباط برقرار نمی‌کند. این بخش‌بندی نشان‌دهنده یک استراتژی مدیریت بات‌نت ساختاریافته و مقیاس‌پذیر است.

پیش از این مشاهده شده است که شبکه پروکسی توسط چندین عامل تهدید مورد سوء استفاده قرار گرفته است. با این حال، انتساب همچنان دشوار است زیرا روترهای درگیر در شبکه گاهی اوقات به طور همزمان به خانواده‌های بدافزار دیگری آلوده می‌شوند و این امر مشخص نمی‌کند که کدام عامل مسئول فعالیت‌های مخرب خاص است.

اقدامات دفاعی برای دارندگان روتر

ظهور KadNap، خطر رو به رشد ناشی از دستگاه‌های لبه‌ای با امنیت ضعیف را در محیط‌های خانگی و اداری کوچک برجسته می‌کند. مدافعان شبکه و کاربران شخصی می‌توانند با اتخاذ چندین شیوه امنیتی، میزان مواجهه با این خطرات را به میزان قابل توجهی کاهش دهند:

• روترها و دستگاه‌های شبکه را با آخرین به‌روزرسانی‌های میان‌افزار و امنیتی نگه دارید.
• در صورت لزوم، دستگاه‌ها را به صورت دوره‌ای مجدداً راه‌اندازی کنید تا فرآیندهای مخرب موقت پاک شوند.
• اعتبارنامه‌های پیش‌فرض را با رمزهای عبور قوی و منحصر به فرد جایگزین کنید.
• رابط‌های مدیریت اداری را محدود و ایمن کنید.
• روترهایی را که به پایان عمر خود رسیده‌اند و دیگر به‌روزرسانی‌های امنیتی فروشندگان را دریافت نمی‌کنند، از رده خارج و جایگزین کنید.

یک بات‌نت غیرمتمرکز که برای مخفی‌کاری طراحی شده است

KadNap خود را از بسیاری از بات‌نت‌های سنتی که از سرویس‌های پروکسی ناشناس پشتیبانی می‌کنند، با استفاده از معماری غیرمتمرکز نظیر به نظیر متمایز می‌کند. این بات‌نت با بهره‌گیری از پروتکل Kademlia DHT، کنترل را در دستگاه‌های آلوده توزیع می‌کند و به سرورهای متمرکز که به راحتی قابل شناسایی هستند، متکی نیست.

این معماری، کانال‌های ارتباطی انعطاف‌پذیری را در اختیار اپراتورها قرار می‌دهد که تشخیص، مسدود کردن یا از بین بردن آنها به طور قابل توجهی دشوارتر است. هدف استراتژیک واضح است: حفظ تداوم عملیاتی، گریز از نظارت امنیتی و پیچیده‌تر کردن تلاش‌های دفاعی برای تیم‌های امنیت سایبری.