Kimwolf बॉटनेट अभियान

सुरक्षा शोधकर्ताओं ने किमवुल्फ नामक एक विशाल एंड्रॉइड-केंद्रित बॉटनेट का पता लगाया है, जिसने आवासीय प्रॉक्सी नेटवर्क का फायदा उठाकर 20 लाख से अधिक उपकरणों को प्रभावित किया है। यह मैलवेयर आम उपभोक्ता हार्डवेयर को एक वैश्विक आक्रमण मंच में बदल देता है, चुपचाप दुर्भावनापूर्ण ट्रैफ़िक को रूट करता है और बड़े पैमाने पर वितरित डिनायल-ऑफ-सर्विस (डीडीओएस) ऑपरेशन को सक्षम बनाता है। अवलोकन से पता चलता है कि हर हफ्ते लगभग 12 मिलियन अद्वितीय आईपी पते सक्रिय होते हैं, जो इस ऑपरेशन के असाधारण दायरे को उजागर करते हैं।

उत्पत्ति, विकास और एआईएसयूआरयू से संबंध

किमवुल्फ का पहली बार सार्वजनिक विश्लेषण दिसंबर 2025 में किया गया था, जब जांचकर्ताओं ने एआईएसयूआरयू नामक एक अन्य बॉटनेट के साथ इसके मजबूत तकनीकी और बुनियादी ढांचे संबंधी संबंध पाए। साक्ष्य बताते हैं कि किमवुल्फ कम से कम अगस्त 2025 से सक्रिय है और यह एआईएसयूआरयू का एंड्रॉइड-आधारित विकसित रूप है। शोधकर्ताओं का मानना है कि इस बॉटनेट ने पिछले साल के अंत में देखे गए कई रिकॉर्ड-तोड़ डीडीओएस हमलों को अंजाम दिया था।

वैश्विक संक्रमण का दायरा और लक्षित उपकरण

किमवुल्फ की मौजूदगी भले ही दुनिया भर में हो, लेकिन इसके संक्रमण मुख्य रूप से वियतनाम, ब्राजील, भारत और सऊदी अरब में केंद्रित हैं। प्रभावित प्रणालियों का एक बड़ा हिस्सा अनौपचारिक एंड्रॉइड स्मार्ट टीवी और सेट-टॉप बॉक्स हैं, जिनमें से कई असुरक्षित डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ आते हैं।

कम से कम 67% कनेक्टेड डिवाइस अनधिकृत एंड्रॉइड डीबग ब्रिज (ADB) सेवा का उपयोग करते हैं, जिससे वे रिमोट कंट्रोल के लिए असुरक्षित हो जाते हैं। जांचकर्ताओं को संदेह है कि इनमें से कई उत्पाद उपभोक्ताओं तक पहुंचने से पहले ही प्रॉक्सी से संबंधित सॉफ्टवेयर डेवलपमेंट किट (SDK) के साथ प्रीलोडेड होते हैं, जिससे वे प्रभावी रूप से प्रॉक्सी इकोसिस्टम में शामिल हो जाते हैं जो बाद में मैलवेयर के वितरण चैनल बन जाते हैं।

किमवुल्फ कैसे फैलता है और अपना नियंत्रण बनाए रखता है

किमवुल्फ के संचालक बड़े आवासीय प्रॉक्सी नेटवर्क का उपयोग करके इंटरनेट पर उन एंड्रॉइड डिवाइसों की खोज करते हैं जिन पर एडीबी सेवाएं चल रही होती हैं। पहचान हो जाने पर, मैलवेयर को दूरस्थ रूप से इंस्टॉल किया जाता है, जिससे डिवाइस एक ट्रैफिक रिले और अटैक नोड में बदल जाता है। मुख्य पेलोड पोर्ट 40860 पर एक लिसनर खोलता है और 85.234.91[.]247:1337 के साथ आउटबाउंड संचार स्थापित करता है, जिससे इसे परिचालन कमांड प्राप्त होते हैं।

दिसंबर 2025 में ही, संक्रमणों का पता चीन स्थित IPIDEA से किराए पर लिए गए प्रॉक्सी आईपी पतों से लगाया गया था। IPIDEA स्वयं को दुनिया की अग्रणी आईपी प्रॉक्सी सेवा प्रदाता के रूप में विज्ञापित करती है, जिसके पास प्रतिदिन 6.1 मिलियन से अधिक आईपी पते अपडेट होते हैं और 69,000 नए पते होते हैं। 27 दिसंबर को, IPIDEA ने एक सुरक्षा अपडेट जारी किया, जिसमें स्थानीय नेटवर्क और संवेदनशील पोर्ट तक पहुंच को अवरुद्ध कर दिया गया। यह तब हुआ जब इस बात के सबूत सामने आए कि हमलावर ग्राहकों द्वारा स्थापित प्रॉक्सी सॉफ़्टवेयर के माध्यम से आंतरिक उपकरणों तक पहुंच बना रहे थे।

विश्लेषकों ने इस तकनीक से उत्पन्न जोखिम को अभूतपूर्व बताया है, जिससे लाखों उपभोक्ता प्रणालियाँ स्वचालित शोषण के सीधे रास्ते में आ गई हैं।

मुद्रीकरण: प्रॉक्सी, पेलोड और सशुल्क हमले

शुरू से ही किमवुल्फ के वित्तीय उद्देश्य स्पष्ट थे। ऑपरेटरों ने आक्रामक रूप से अपने बुनियादी ढांचे का व्यवसायीकरण किया, और कई चैनलों के माध्यम से असुरक्षित उपकरणों को लाभ कमाने वाली संपत्तियों में बदल दिया:

• आवासीय प्रॉक्सी एक्सेस की बिक्री, जिसका विज्ञापन 0.20 डॉलर प्रति जीबी या असीमित बैंडविड्थ के लिए लगभग 1,400 डॉलर प्रति माह के रूप में किया गया था, ने कई प्रॉक्सी सेवाओं से शुरुआती स्वीकृति को आकर्षित किया।
• सेकेंडरी मोनेटाइजेशन एसडीके की तैनाती, विशेष रूप से प्लेनप्रॉक्सीज बाइटकनेक्ट एसडीके, जो 119 समर्पित रिले सर्वरों के माध्यम से एक कमांड सर्वर से संक्रमित उपकरणों तक भुगतान किए गए प्रॉक्सी कार्यों को रूट करता है।
• साइबर अपराध गतिविधियों के लिए बॉटनेट का दुरुपयोग, जिसमें बड़े पैमाने पर डीडीओएस गतिविधि और आईएमएपी सेवाओं और लोकप्रिय ऑनलाइन प्लेटफार्मों के खिलाफ देखे गए क्रेडेंशियल-स्टफिंग अभियान शामिल हैं।

पहले से संक्रमित टीवी बॉक्स की मौजूदगी और व्यावसायिक बैंडविड्थ-शेयरिंग एसडीके के एकीकरण से बॉटनेट ऑपरेटरों और प्रॉक्सी अर्थव्यवस्था के कुछ हिस्सों के बीच बढ़ते सहयोग का स्पष्ट संकेत मिलता है।

रक्षात्मक उपाय और जोखिम न्यूनीकरण

इस प्रकार के खतरों को कम करने के लिए, सेवा प्रदाताओं और अंतिम-उपयोगकर्ता दोनों परिवेशों में समन्वित कार्रवाई की आवश्यकता है:

• प्रॉक्सी नेटवर्क को RFC 1918 एड्रेस रेंज के लिए निर्धारित ट्रैफिक को ब्लॉक करना चाहिए, जिससे बाहरी ग्राहकों को उन आंतरिक निजी नेटवर्क तक पहुंचने से रोका जा सके जहां उपभोक्ता उपकरण स्थित हैं।
• संगठनों और व्यक्तियों को एंड्रॉइड सिस्टम पर अनधिकृत एडीबी एक्सेस को अक्षम या प्रतिबंधित करना चाहिए, विशेष रूप से एम्बेडेड और आईओटी-शैली के उपकरणों पर जो अक्सर असुरक्षित डिफ़ॉल्ट सेटिंग्स के साथ आते हैं।

इन नियंत्रणों के बिना, आवासीय प्रॉक्सी पारिस्थितिकी तंत्र बड़े पैमाने पर मैलवेयर की तैनाती और बॉटनेट के विस्तार के लिए आदर्श आवरण प्रदान करते रहेंगे।