Ponuda s popustom na više licenci
Baza prijetnji Botneti Kimwolf Botnet

Kimwolf Botnet

Do Mezo. Botneti. godine
Prevedi na:

Stručnjaci za kibernetičku sigurnost otkrili su masovni distribuirani botnet za uskraćivanje usluge (DDoS) poznat kao Kimwolf, koji je već zarazio preko 1,8 milijuna uređaja. To uključuje televizore, set-top box uređaje i tablete s Androidom. Rane istrage ukazuju na potencijalnu vezu s ozloglašenim AISURU botnetom. Otkriće naglašava sve veću sofisticiranost zlonamjernog softvera usmjerenog na IoT i naglašava kritičnu potrebu za budnošću u zaštiti povezanih uređaja.

Anatomija Kimwolfa

Kimwolf je izgrađen korištenjem Native Development Kit-a (NDK) i kombinira više mogućnosti izvan tradicionalnih DDoS napada. Ključne značajke uključuju:

  • Prosljeđivanje proxyja
  • Pristup obrnutom ljuskom
  • Funkcije upravljanja datotekama

Zlonamjerni softver botneta dizajniran je za pokretanje jednog procesa po uređaju, dešifriranje ugrađenih Command-and-Control (C2) domena, razrješavanje C2 IP adrese pomoću DNS-a preko TLS-a i izvršavanje naredbi primljenih od svojih operatera.

Rekordni opseg i aktivnost

U samo tri dana, od 19. do 22. studenog 2025., Kimwolf je navodno izdao 1,7 milijardi DDoS naredbi za napad. Jedna od njegovih C2 domena, 14emeliaterracewestroxburyma02132[.]su, čak se nakratko pojavila među Cloudflareovih 100 najboljih domena, privremeno nadmašivši Google.

Primarne mete infekcije uključuju stambene TV prijemnike kao što su:

  • TV PRIJEVOZNIK, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Geografski gledano, infekcije su koncentrirane u Brazilu, Indiji, SAD-u, Argentini, Južnoj Africi i Filipinima, iako točan način širenja ostaje nejasan.

Evolucija i otpornost

Kimwolf pokazuje naprednu prilagodljivost. Njegove C2 domene su u prosincu 2025. ugašene najmanje tri puta, što je potaknulo operatere da usvoje Ethereum Name Service (ENS) domene kako bi ojačali infrastrukturu. Nedavne verzije zlonamjernog softvera uključuju EtherHiding, tehniku koja dohvaća stvarnu C2 IP adresu putem pametnih ugovora i transformira je putem XOR operacija, što znatno otežava uklanjanje.

Povezivanje s AISURU-om i zajedničkom infrastrukturom

Dokazi povezuju Kimwolf s AISURU botnetom, poznatim po rekordnim DDoS napadima:

  • Oba botneta su koegzistirala na istim zaraženim uređajima između rujna i studenog 2025.
  • Sličnosti u APK paketima i certifikatima za potpisivanje koda ('John Dinglebert Dinglenut VIII VanSack Smith') sugeriraju zajedničko podrijetlo razvoja.
  • Poslužitelj za preuzimanje (93.95.112[.]59) potvrdio je prisutnost skripti koje referenciraju i Kimwolf i AISURU APK-ove.

Ovaj odnos ukazuje na jednu hakersku skupinu koja potencijalno upravlja oba botneta kako bi maksimizirala doseg i izbjegla otkrivanje.

Mogućnosti napada i monetizacija

Kimwolf podržava 13 različitih DDoS metoda putem UDP-a, TCP-a i ICMP-a, ciljajući zemlje uključujući SAD, Kinu, Francusku, Njemačku i Kanadu. Zanimljivo je da je preko 96% izdanih naredbi usmjereno na korištenje zaraženih čvorova kao proxy usluga, što ukazuje na snažan profitni motiv.

Dodatne komponente implementirane na kompromitiranim uređajima uključuju:

  • Klijent naredbi temeljen na Rustu – gradi proxy mrežu
  • ByteConnect SDK – monetizira IoT promet za programere i vlasnike uređaja
  • TLS enkripcija osigurava svu komunikaciju, dok su osjetljivi podaci o C2 poslužiteljima i DNS resolverima također enkriptirani, povećavajući operativnu tajnost.

Širi kontekst divovskih botneta

Od pojave Miraija 2016. godine, divovski IoT botneti su se značajno razvili. Rane verzije su prvenstveno ciljale širokopojasne usmjerivače i kamere, ali moderni botneti poput Badboxa, Bigpanzija, Vo1da i Kimwolfa sve se više fokusiraju na pametne televizore i TV prijemnike, što odražava promjenu interesa napadača prema potrošačkim uređajima s velikom propusnošću.

U trendu

Nagledanije

Učitavam...