Kimwolf Botnet

کارشناسان امنیت سایبری یک بات‌نت عظیم انکار سرویس توزیع‌شده (DDoS) به نام Kimwolf را کشف کرده‌اند که تاکنون بیش از ۱.۸ میلیون دستگاه آلوده را در خود جای داده است. این دستگاه‌ها شامل تلویزیون‌های مبتنی بر اندروید، گیرنده‌های دیجیتال و تبلت‌ها می‌شوند. تحقیقات اولیه نشان می‌دهد که این بات‌نت احتمالاً با بات‌نت بدنام AISURU مرتبط است. این کشف، پیچیدگی روزافزون بدافزارهای هدفمند اینترنت اشیا را برجسته می‌کند و بر نیاز مبرم به هوشیاری در محافظت از دستگاه‌های متصل تأکید دارد.

آناتومی کیموولف

کیم‌ولف با استفاده از کیت توسعه بومی (NDK) ساخته شده است و قابلیت‌های متعددی را فراتر از حملات DDoS سنتی ترکیب می‌کند. ویژگی‌های کلیدی عبارتند از:

• ارسال پروکسی
• دسترسی معکوس به پوسته
• توابع مدیریت فایل

بدافزار این بات‌نت به گونه‌ای طراحی شده است که یک فرآیند واحد را در هر دستگاه اجرا کند، دامنه‌های فرماندهی و کنترل (C2) تعبیه‌شده را رمزگشایی کند، IP فرماندهی و کنترل را با استفاده از DNS-over-TLS حل کند و دستورات دریافتی از اپراتورهای خود را اجرا کند.

مقیاس و فعالیت رکوردشکن

طبق گزارش‌ها، تنها در عرض سه روز، از ۱۹ تا ۲۲ نوامبر ۲۰۲۵، کیم‌ولف ۱.۷ میلیارد دستور حمله DDoS صادر کرده است. یکی از دامنه‌های C2 آن، 14emeliateracewestroxburyma02132[.]su، حتی برای مدت کوتاهی در میان ۱۰۰ دامنه برتر Cloudflare ظاهر شد و موقتاً از گوگل پیشی گرفت.

اهداف اولیه آلودگی شامل جعبه‌های تلویزیون مسکونی مانند موارد زیر است:

• تلویزیون باکس، سوپر باکس، های دی پی تی اندروید
• P200، X96Q، XBOX، تلویزیون هوشمند، MX10

از نظر جغرافیایی، عفونت‌ها در برزیل، هند، ایالات متحده، آرژانتین، آفریقای جنوبی و فیلیپین متمرکز شده‌اند، اگرچه روش دقیق انتشار آن هنوز مشخص نیست.

تکامل و تاب‌آوری

کیم‌ولف سازگاری پیشرفته‌ای را نشان می‌دهد. دامنه‌های C2 آن حداقل سه بار در دسامبر 2025 از کار افتاده‌اند و همین امر باعث شده است که اپراتورها برای تقویت زیرساخت‌ها، دامنه‌های سرویس نام اتریوم (ENS) را به کار گیرند. نسخه‌های اخیر این بدافزار شامل EtherHiding است، تکنیکی که IP واقعی C2 را از طریق قراردادهای هوشمند دریافت کرده و آن را از طریق عملیات XOR تبدیل می‌کند و از کار انداختن آن را بسیار دشوارتر می‌کند.

اتصال به AISURU و زیرساخت مشترک

شواهد، کیم‌ولف را به بات‌نت AISURU، که به خاطر حملات DDoS رکوردشکن شناخته می‌شود، مرتبط می‌کند:

• هر دو بات‌نت بین سپتامبر و نوامبر ۲۰۲۵ روی دستگاه‌های آلوده یکسانی وجود داشته‌اند.
• شباهت‌های موجود در بسته‌های APK و گواهی‌های امضای کد ('John Dinglebert Dinglenut VIII VanSack Smith') نشان‌دهنده‌ی منشأ توسعه‌ی مشترک است.
• یک سرور دانلودر (93.95.112[.]59) وجود اسکریپت‌هایی را که به فایل‌های APK مربوط به Kimwolf و AISURU اشاره داشتند، تأیید کرد.

این رابطه به یک گروه هکری واحد اشاره دارد که به طور بالقوه هر دو بات‌نت را برای به حداکثر رساندن دسترسی و جلوگیری از شناسایی شدن، اداره می‌کند.

قابلیت‌های حمله و کسب درآمد

کیم‌ولف از ۱۳ روش متمایز DDoS روی UDP، TCP و ICMP پشتیبانی می‌کند و کشورهایی از جمله ایالات متحده، چین، فرانسه، آلمان و کانادا را هدف قرار می‌دهد. جالب اینجاست که بیش از ۹۶٪ از دستورات صادر شده با هدف استفاده از گره‌های آلوده به عنوان سرویس‌های پروکسی صادر شده‌اند که نشان دهنده انگیزه سودجویی قوی است.

اجزای اضافی مستقر در دستگاه‌های آسیب‌دیده عبارتند از:

• کلاینت فرمان مبتنی بر Rust - یک شبکه پروکسی ایجاد می‌کند
• کیت توسعه نرم‌افزار ByteConnect - از ترافیک اینترنت اشیا برای توسعه‌دهندگان و دارندگان دستگاه‌ها درآمد کسب می‌کند
• رمزگذاری TLS تمام ارتباطات را ایمن می‌کند، در حالی که داده‌های حساس مربوط به سرورهای C2 و DNS resolvers نیز رمزگذاری می‌شوند و باعث افزایش پنهان‌کاری عملیاتی می‌شوند.

زمینه گسترده‌تر بات‌نت‌های غول‌پیکر

از زمان ظهور Mirai در سال ۲۰۱۶، بات‌نت‌های غول‌پیکر اینترنت اشیا به طور قابل توجهی تکامل یافته‌اند. نسخه‌های اولیه در درجه اول روترها و دوربین‌های پهن‌باند را هدف قرار می‌دادند، اما بات‌نت‌های مدرن مانند Badbox، Bigpanzi، Vo1d و Kimwolf به طور فزاینده‌ای روی تلویزیون‌های هوشمند و تلویزیون‌های خانگی تمرکز می‌کنند که نشان‌دهنده تغییر علایق مهاجمان به سمت دستگاه‌های مصرفی با پهنای باند بالا است.