Kimwolf बॉटनेट

साइबर सुरक्षा विशेषज्ञों ने किमवुल्फ नामक एक विशाल डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस (डीडीओएस) बॉटनेट का पता लगाया है, जिसने पहले ही 18 लाख से अधिक उपकरणों को अपनी चपेट में ले लिया है। इनमें एंड्रॉइड-आधारित टीवी, सेट-टॉप बॉक्स और टैबलेट शामिल हैं। प्रारंभिक जांच से कुख्यात एआईएसयूआरयू बॉटनेट से संभावित संबंध का संकेत मिलता है। इस खोज से आईओटी-लक्षित मैलवेयर की बढ़ती जटिलता उजागर होती है और कनेक्टेड उपकरणों की सुरक्षा में सतर्कता की आवश्यकता पर बल मिलता है।

किमवुल्फ की शारीरिक रचना

किमवुल्फ को नेटिव डेवलपमेंट किट (एनडीके) का उपयोग करके बनाया गया है और यह पारंपरिक डीडीओएस हमलों से परे कई क्षमताओं को जोड़ता है। प्रमुख विशेषताओं में शामिल हैं:

• प्रॉक्सी फ़ॉरवर्डिंग
• रिवर्स शेल एक्सेस
• फ़ाइल प्रबंधन कार्यों

बॉटनेट का मैलवेयर प्रति डिवाइस एक ही प्रक्रिया चलाने, एम्बेडेड कमांड-एंड-कंट्रोल (C2) डोमेन को डिक्रिप्ट करने, DNS-ओवर-TLS का उपयोग करके C2 IP को हल करने और अपने ऑपरेटरों से प्राप्त आदेशों को निष्पादित करने के लिए डिज़ाइन किया गया है।

रिकॉर्ड तोड़ पैमाने और गतिविधि

महज तीन दिनों में, 19 से 22 नवंबर, 2025 के बीच, किमवुल्फ ने कथित तौर पर 1.7 अरब डीडीओएस हमले के आदेश जारी किए। इसके सी2 डोमेन में से एक, 14emeliaterracewestroxburyma02132[.]su, कुछ समय के लिए क्लाउडफ्लेयर के शीर्ष 100 डोमेन में भी दिखाई दिया, और अस्थायी रूप से गूगल को पीछे छोड़ दिया।

प्राथमिक संक्रमण के लक्ष्यों में आवासीय टीवी बॉक्स शामिल हैं जैसे:

• टीवी बॉक्स, सुपरबॉक्स, हाईडीपीटी एंड्रॉइड
• P200, X96Q, XBOX, स्मार्टटीवी, MX10

भौगोलिक दृष्टि से, संक्रमण ब्राजील, भारत, अमेरिका, अर्जेंटीना, दक्षिण अफ्रीका और फिलीपींस में केंद्रित हैं, हालांकि इसके फैलने का सटीक तरीका अभी भी स्पष्ट नहीं है।

विकास और लचीलापन

किमवुल्फ उन्नत अनुकूलन क्षमता का प्रदर्शन करता है। दिसंबर 2025 में इसके C2 डोमेन कम से कम तीन बार बंद किए गए, जिसके चलते ऑपरेटरों ने बुनियादी ढांचे को मजबूत करने के लिए एथेरियम नेम सर्विस (ENS) डोमेन को अपनाया। मैलवेयर के नवीनतम संस्करणों में ईथरहाइडिंग तकनीक का उपयोग किया गया है, जो स्मार्ट कॉन्ट्रैक्ट्स के माध्यम से वास्तविक C2 IP को प्राप्त करती है और XOR ऑपरेशन्स के माध्यम से इसे रूपांतरित करती है, जिससे इसे बंद करना कहीं अधिक कठिन हो जाता है।

एआईएसयूआरयू और साझा अवसंरचना से कनेक्शन

साक्ष्य किमवुल्फ को एआईएसयूआरयू बॉटनेट से जोड़ते हैं, जो रिकॉर्ड तोड़ डीडीओएस हमलों के लिए जाना जाता है:

• सितंबर और नवंबर 2025 के बीच दोनों बॉटनेट एक ही संक्रमित उपकरणों पर साथ-साथ मौजूद थे।
• APK पैकेजों और कोड हस्ताक्षर प्रमाणपत्रों ('जॉन डिंगलबर्ट डिंगलनट VIII वैनसैक स्मिथ') में समानताएं एक साझा विकास स्रोत का संकेत देती हैं।
• एक डाउनलोडर सर्वर (93.95.112[.]59) ने किमवुल्फ और एआईएसयूआरयू एपीके दोनों का संदर्भ देने वाली स्क्रिप्ट की उपस्थिति की पुष्टि की।

यह संबंध इस बात का संकेत देता है कि संभवतः एक ही हैकर समूह दोनों बॉटनेट का संचालन कर रहा है ताकि अपनी पहुंच को अधिकतम किया जा सके और पकड़े जाने से बचा जा सके।

आक्रमण क्षमताएं और मुद्रीकरण

किमवुल्फ यूडीपी, टीसीपी और आईसीएमपी पर 13 अलग-अलग डीडीओएस तरीकों का समर्थन करता है, जो अमेरिका, चीन, फ्रांस, जर्मनी और कनाडा सहित कई देशों को निशाना बनाते हैं। दिलचस्प बात यह है कि जारी किए गए 96% से अधिक कमांड संक्रमित नोड्स को प्रॉक्सी सेवाओं के रूप में उपयोग करने के लिए निर्देशित हैं, जो मजबूत लाभ कमाने की मंशा को दर्शाता है।

क्षतिग्रस्त उपकरणों में तैनात किए गए अतिरिक्त घटकों में निम्नलिखित शामिल हैं:

• रस्ट-आधारित कमांड क्लाइंट – एक प्रॉक्सी नेटवर्क बनाता है
• ByteConnect SDK – डेवलपर्स और डिवाइस मालिकों के लिए IoT ट्रैफिक से कमाई करने का एक ज़रिया है
• TLS एन्क्रिप्शन सभी संचारों को सुरक्षित करता है, जबकि C2 सर्वरों और DNS रिजॉल्वर के बारे में संवेदनशील डेटा भी एन्क्रिप्ट किया जाता है, जिससे परिचालन गोपनीयता बढ़ती है।

विशाल बॉटनेट का व्यापक संदर्भ

2016 में मिराई के उदय के बाद से, विशाल आईओटी बॉटनेट्स में काफी विकास हुआ है। शुरुआती संस्करण मुख्य रूप से ब्रॉडबैंड राउटर और कैमरों को निशाना बनाते थे, लेकिन बैडबॉक्स, बिगपांज़ी, वीओ1डी और किमवुल्फ जैसे आधुनिक बॉटनेट्स तेजी से स्मार्ट टीवी और टीवी बॉक्स पर ध्यान केंद्रित कर रहे हैं, जो हमलावरों की उच्च बैंडविड्थ वाले उपभोक्ता उपकरणों की ओर बढ़ती रुचि को दर्शाता है।