הצעת הנחה מרובה רישיונות
מסד נתונים של איומים Botnets Kimwolf Botnet

Kimwolf Botnet

עד Mezo ב-Botnets
לתרגם ל:

מומחי אבטחת סייבר חשפו בוטנט עצום מסוג מניעת שירות (DDoS) המכונה Kimwolf, שכבר גייס למעלה מ-1.8 מיליון מכשירים נגועים. אלה כוללים טלוויזיות מבוססות אנדרואיד, ממירים וטאבלטים. חקירות ראשוניות מצביעות על קשר פוטנציאלי לבוטנט הידוע לשמצה AISURU. התגלית מדגישה את התחכום הגובר של תוכנות זדוניות המכוונות לאינטרנט של הדברים ומדגישה את הצורך הקריטי בערנות בהגנה על מכשירים מחוברים.

האנטומיה של קימוולף

Kimwolf בנוי באמצעות ערכת פיתוח נטיבית (NDK) ומשלב יכולות מרובות מעבר להתקפות DDoS מסורתיות. התכונות העיקריות כוללות:

  • העברת פרוקסי
  • גישה הפוכה למעטפת
  • פונקציות ניהול קבצים

התוכנה הזדונית של הבוטנט נועדה להריץ תהליך יחיד לכל מכשיר, לפענח דומיינים מוטמעים של פיקוד ובקרה (C2), לפענח את כתובת ה-IP של C2 באמצעות DNS-over-TLS, ולבצע פקודות שהתקבלו ממפעיליה.

קנה מידה ופעילות שוברי שיאים

בתוך שלושה ימים בלבד, בין ה-19 ל-22 בנובמבר 2025, דווח כי Kimwolf הוציאה 1.7 מיליארד פקודות להתקפת DDoS. אחד מדומייני ה-C2 שלה, 14emeliaterracewestroxburyma02132[.]su, אף הופיע לזמן קצר בין 100 הדומיינים המובילים של Cloudflare, ועקפה את גוגל באופן זמני.

מטרות עיקריות להדבקה כוללות טלוויזיות ביתיות כגון:

  • ממיר טלוויזיה, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

מבחינה גיאוגרפית, הזיהומים מרוכזים בברזיל, הודו, ארה"ב, ארגנטינה, דרום אפריקה והפיליפינים, אם כי שיטת ההפצה המדויקת נותרה לא ברורה.

אבולוציה וחוסן

קימוולף מפגינה יכולת הסתגלות מתקדמת. דומייני ה-C2 שלה הוסרו לפחות שלוש פעמים בדצמבר 2025, מה שגרם למפעילים לאמץ דומייני Ethereum Name Service (ENS) כדי לחזק את התשתית. גרסאות אחרונות של הנוזקה משלבות EtherHiding, טכניקה שמאפשרת לאחזר את כתובת ה-IP של ה-C2 בפועל באמצעות חוזים חכמים ומשנה אותה באמצעות פעולות XOR, מה שמקשה הרבה יותר על הסרות.

חיבור ל-AISURU ולתשתית משותפת

ראיות מקשרות את Kimwolf לרשת הבוטים של AISURU, הידועה במתקפות DDoS שוברות שיאים:

  • שתי הבוטנטים התקיימו במקביל על אותם מכשירים נגועים בין ספטמבר לנובמבר 2025.
  • קווי דמיון בחבילות APK ובתעודות חתימת קוד ('John Dinglebert Dinglenut VIII VanSack Smith') מצביעים על מקור פיתוח משותף.
  • שרת הורדה (93.95.112[.]59) אישר את נוכחותם של סקריפטים המתייחסים הן ל-Kimwolf והן ל-AISURU APKs.

קשר זה רומז על קבוצת האקרים אחת שעשויה להפעיל את שתי הבוטנטים כדי למקסם את טווח ההגעה ולהימנע מגילוי.

יכולות התקפה ומונטיזציה

Kimwolf תומך ב-13 שיטות DDoS שונות דרך UDP, TCP ו-ICMP, ומכוון למדינות כמו ארה"ב, סין, צרפת, גרמניה וקנדה. מעניין לציין שיותר מ-96% מהפקודות המונפקות מכוונות לשימוש בצמתים נגועים כשירותי פרוקסי, דבר המצביע על מניע רווחי חזק.

רכיבים נוספים שנפרסו במכשירים שנפגעו כוללים:

  • לקוח פיקוד מבוסס חלודה - בונה רשת פרוקסי
  • ByteConnect SDK – מרוויח כסף מתעבורת IoT עבור מפתחים ובעלי מכשירים
  • הצפנת TLS מאבטחת את כל התקשורת, בעוד שגם נתונים רגישים אודות שרתי C2 ורזולוטורי DNS מוצפנים, מה שמגביר את החשאיות התפעולית.

ההקשר הרחב יותר של בוטנטים ענקיים

מאז הופעתה של Mirai בשנת 2016, בוטנטים ענקיים של IoT התפתחו באופן משמעותי. גרסאות מוקדמות כוונו בעיקר לנתבים ומצלמות פס רחב, אך בוטנטים מודרניים כמו Badbox, Bigpanzi, Vo1d ו-Kimwolf מתמקדים יותר ויותר בטלוויזיות חכמות ובממירי טלוויזיה, דבר המשקף את שינוי תחומי העניין של התוקפים לכיוון מכשירים צרכניים בעלי רוחב פס גבוה.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
30,200
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...