Ponuda s popustom na više licenci
Baza prijetnji Botneti Kimwolf kampanja s botnetom

Kimwolf kampanja s botnetom

Do Mezo. Botneti. godine
Prevedi na:

Sigurnosni istraživači otkrili su masivni botnet usmjeren na Android poznat kao Kimwolf, koji je kompromitirao preko dva milijuna uređaja iskorištavajući stambene proxy mreže. Zlonamjerni softver pretvara svakodnevni potrošački hardver u globalnu platformu za napad, tiho usmjeravajući zlonamjerni promet i omogućujući velike distribuirane operacije uskraćivanja usluge (DDoS). Promatranja pokazuju otprilike 12 milijuna jedinstvenih IP adresa svaki tjedan, što naglašava izvanredan opseg ove operacije.

Podrijetlo, evolucija i veze s AISURU-om

Kimwolf je prvi put javno analiziran u prosincu 2025. , kada su istražitelji identificirali snažne tehničke i infrastrukturne veze s drugim botnetom pod nazivom AISURU. Dokazi upućuju na to da je Kimwolf aktivan najmanje od kolovoza 2025. i predstavlja evoluciju AISURU-a temeljenu na Androidu. Istraživači sve više vjeruju da je ovaj botnet pokretao nekoliko rekordnih DDoS kampanja uočenih krajem prošle godine.

Globalni otisak infekcije i ciljani uređaji

Iako Kimwolf ima prisutnost diljem svijeta, zaraze su uvelike koncentrirane u Vijetnamu, Brazilu, Indiji i Saudijskoj Arabiji. Značajan dio kompromitiranih sustava su neslužbeni Android pametni televizori i set-top box uređaji, od kojih se mnogi isporučuju s nesigurnim zadanim konfiguracijama.

Najmanje 67% povezanih uređaja izloženo je neautentificiranoj usluzi Android Debug Bridge (ADB), ostavljajući ih otvorenima za daljinsko upravljanje. Istražitelji sumnjaju da su mnogi od ovih proizvoda unaprijed instalirani kompleti za razvoj softvera (SDK) povezani s proxyjem prije nego što dođu do potrošača, učinkovito ih upisujući u proxy ekosustave koji kasnije postaju kanali isporuke zlonamjernog softvera.

Kako Kimwolf širi i održava kontrolu

Kimwolfovi operateri oslanjaju se na velike stambene proxy mreže za skeniranje interneta u potrazi za Android uređajima koji pokreću izložene ADB usluge. Nakon što se identificira, zlonamjerni softver se instalira daljinski, pretvarajući uređaj u prometni relej i čvor napada. Osnovni teret otvara slušač na portu 40860 i uspostavlja odlaznu komunikaciju s 85.234.91[.]247:1337, s kojeg prima operativne naredbe.

Još u prosincu 2025., infekcije su se pratile do proxy IP adresa unajmljenih od kineske tvrtke IPIDEA, pružatelja usluga koji se oglašava kao vodeća svjetska IP proxy usluga s preko 6,1 milijuna dnevno osvježenih IP adresa i 69 000 novih adresa svaki dan. Dana 27. prosinca, IPIDEA je implementirala sigurnosno ažuriranje koje blokira pristup lokalnim mrežama i osjetljivim portovima nakon što su se pojavili dokazi da su napadači tunelirali kroz proxy softver koji su instalirali korisnici kako bi došli do internih uređaja.

Izloženost stvorena ovom tehnikom analitičari su opisali kao neviđenu, stavljajući milijune potrošačkih sustava izravno na put automatizirane eksploatacije.

Monetizacija: Proxyji, korisni sadržaji i plaćeni napadi

Od samog početka, Kimwolfovi financijski motivi bili su jasni. Operateri su agresivno komercijalizirali svoju infrastrukturu, pretvarajući kompromitirane uređaje u imovinu koja generira profit putem više kanala:

  • Prodaja stambenog proxy pristupa, oglašavanog po cijeni od samo 0,20 USD po GB ili oko 1400 USD mjesečno za neograničenu propusnost, privukla je rano usvajanje od strane više proxy servisa.
  • Implementacija sekundarnih SDK-ova za monetizaciju, a najznačajniji je Plainproxies Byteconnect SDK, koji usmjerava plaćene proxy zadatke s naredbenog poslužitelja na zaražene uređaje putem 119 namjenskih relay poslužitelja.
  • Zlouporaba botneta za operacije kibernetičkog kriminala, uključujući velike DDoS aktivnosti i uočene kampanje krađe vjerodajnica protiv IMAP usluga i popularnih online platformi.

Prisutnost prethodno zaraženih TV prijemnika i integracija komercijalnih SDK-ova za dijeljenje propusnosti snažno sugeriraju produbljivanje suradnje između operatera botneta i segmenata proxy ekonomije.

Obrambene mjere i smanjenje rizika

Za ublažavanje sličnih prijetnji potrebna je koordinirana akcija i među pružateljima usluga i među krajnjim korisnicima:

  • Proxy mreže trebale bi blokirati promet namijenjen RFC 1918 adresnim rasponima, sprječavajući vanjske korisnike da dođu do internih privatnih mreža u kojima se nalaze potrošački uređaji.
  • Organizacije i pojedinci moraju onemogućiti ili ograničiti neautentificirani ADB pristup na Android sustavima, posebno ugrađenim i IoT uređajima koji se često isporučuju s nesigurnim zadanim postavkama.

Bez ovih kontrola, stambeni proxy ekosustavi i dalje će pružati idealno pokriće za implementaciju zlonamjernog softvera velikih razmjera i širenje botneta.

U trendu

Nagledanije

Učitavam...