Kimwolf Botnet Campaign

חוקרי אבטחה חשפו רשת בוטנט ענקית המבוססת על אנדרואיד, המכונה Kimwolf, אשר פגעה ביותר משני מיליון מכשירים על ידי ניצול רשתות פרוקסי ביתיות. הנוזקה הופכת חומרה צרכנית יומיומית לפלטפורמת תקיפה עולמית, מנתבת בשקט תעבורה זדונית ומאפשרת פעולות מניעת שירות מבוזרות (DDoS) בקנה מידה גדול. תצפיות מראות כ-12 מיליון כתובות IP ייחודיות מדי שבוע, מה שמדגיש את היקף הפעולה יוצא הדופן.

מקורות, אבולוציה וקישורים ל-AISURU

קימוולף נותח לראשונה בפומבי בדצמבר 2025 , כאשר חוקרים זיהו קשרים טכניים ותשתיתיים חזקים לבוטנט אחר בשם AISURU. עדויות מצביעות על כך שקימוולף פעיל לפחות מאוגוסט 2025 ומייצג אבולוציה מבוססת אנדרואיד של AISURU. חוקרים מאמינים יותר ויותר שבוטנט זה הניע מספר קמפיינים של DDoS שוברי שיאים שנצפו לקראת סוף השנה שעברה.

טביעת רגל גלובלית של זיהומים ומכשירים ממוקדים

למרות של-Kimwolf יש נוכחות עולמית, ההדבקות מרוכזות במידה רבה בווייטנאם, ברזיל, הודו וערב הסעודית. חלק ניכר מהמערכות שנפגעו הן טלוויזיות חכמות וממירים לא רשמיים של אנדרואיד, שרבות מהן מגיעות עם תצורות ברירת מחדל לא מאובטחות.

לפחות 67% מהמכשירים המחוברים חושפים שירות Android Debug Bridge (ADB) לא מאומת, מה שמותיר אותם פתוחים לשליטה מרחוק. חוקרים חושדים שרבים מהמוצרים הללו טעונים מראש בערכות פיתוח תוכנה (SDK) הקשורות לפרוקסי לפני שהם מגיעים לצרכנים, מה שבפועל רושמים אותם למערכות אקולוגיות של פרוקסי שהופכות מאוחר יותר לערוצי אספקה של תוכנות זדוניות.

כיצד קימוולף מפיץ ושומר על שליטה

מפעילי Kimwolf מסתמכים על רשתות פרוקסי גדולות למגורים כדי לסרוק את האינטרנט אחר מכשירי אנדרואיד המריצים שירותי ADB חשופים. לאחר הזיהוי, תוכנות זדוניות מותקנות מרחוק, מה שהופך את המכשיר למסר תעבורה ולצומת תקיפה. מטען הליבה פותח מאזין בפורט 40860 ויוצר תקשורת יוצאת עם 85.234.91[.]247:1337, שממנו הוא מקבל פקודות תפעוליות.

לאחרונה, בדצמבר 2025, אותרו הדבקות לכתובות IP של פרוקסי שנשכרו מ-IPIDEA שבסיסה בסין, ספקית המפרסמת את עצמה כשירות פרוקסי IP מוביל בעולם עם למעלה מ-6.1 מיליון כתובות IP שמתעדכנות מדי יום ו-69,000 כתובות חדשות בכל יום. ב-27 בדצמבר, IPIDEA פרסה עדכון אבטחה שחסם גישה לרשתות מקומיות ופורטים רגישים לאחר שנחשפו ראיות לכך שתוקפים חפרו דרך תוכנת פרוקסי שהותקנה על ידי הלקוח כדי להגיע למכשירים פנימיים.

החשיפה שנוצרה עקב טכניקה זו תוארה על ידי אנליסטים כחסרת תקדים, כשהיא מציבה מיליוני מערכות צרכניות ישירות בנתיב של ניצול אוטומטי.

מונטיזציה: פרוקסי, מטענים ומתקפות בתשלום

מההתחלה, המניעים הפיננסיים של קימוולף היו ברורים. המפעילים מסחרו את התשתית שלהם באגרסיביות, והפכו מכשירים שנפגעו לנכסים מניבי רווח באמצעות ערוצים מרובים:

• מכירת גישת פרוקסי למגורים, שפורסמה במחיר זול של 0.20 דולר לג'יגה-בייט או כ-1,400 דולר לחודש עבור רוחב פס בלתי מוגבל, מה שמשך אימוץ מוקדם מצד שירותי פרוקסי מרובים.
• פריסת ערכות SDK משניות למונטיזציה, ובראשן ה-Plainproxies Byteconnect SDK, המנתב משימות פרוקסי בתשלום משרת פקודה למכשירים נגועים דרך 119 שרתי ממסר ייעודיים.
• ניצול לרעה של הבוטנט לצורך פעולות פשעי סייבר, כולל פעילות DDoS בקנה מידה גדול וקמפיינים נצפו של גניבת אישורים נגד שירותי IMAP ופלטפורמות מקוונות פופולריות.

נוכחותן של מקלטי טלוויזיה שנדבקו מראש ושילוב ערכות פיתוח תוכנה (SDK) לשיתוף רוחב פס מסחרי מצביעים מאוד על שיתוף פעולה מעמיק בין מפעילי בוטנטים לבין פלחים בכלכלת הפרוקסי.

אמצעי הגנה והפחתת סיכונים

כדי לצמצם איומים דומים, נדרשת פעולה מתואמת הן בקרב ספקי השירות והן בקרב סביבות משתמשי הקצה:

• רשתות פרוקסי צריכות לחסום תעבורה המיועדת לטווחי כתובות של RFC 1918, ובכך למנוע מלקוחות חיצוניים להגיע לרשתות פרטיות פנימיות בהן נמצאים מכשירי צרכנים.
• ארגונים ואנשים פרטיים חייבים להשבית או להגביל גישת ADB לא מאומתת במערכות אנדרואיד, במיוחד במכשירים מוטמעים ובסגנון IoT שלעתים קרובות מגיעים עם ברירות מחדל לא מאובטחות.

ללא בקרות אלו, מערכות אקולוגיות של פרוקסי ביתיים ימשיכו לספק כיסוי אידיאלי לפריסה גדולה של תוכנות זדוניות ולהתפשטות רשתות בוט.