Kimwolf botnet
Kiberbiztonsági szakértők lepleztek le egy hatalmas, elosztott szolgáltatásmegtagadási (DDoS) botnetet, a Kimwolfot, amely már több mint 1,8 millió fertőzött eszközt tartalmazott. Ezek között vannak Android-alapú tévék, set-top boxok és táblagépek. A korai vizsgálatok a hírhedt AISURU botnettel való potenciális kapcsolatra utalnak. A felfedezés rávilágít az IoT-célzott rosszindulatú programok egyre kifinomultabb jellegére, és aláhúzza az éberség kritikus szükségességét a csatlakoztatott eszközök védelmében.
Tartalomjegyzék
Kimwolf anatómiája
A Kimwolf a Native Development Kit (NDK) segítségével készült, és a hagyományos DDoS-támadásokon túlmutató számos képességet ötvöz. Főbb jellemzői:
- Proxy továbbítás
- Fordított shell hozzáférés
- Fájlkezelési funkciók
A botnet rosszindulatú programja úgy van kialakítva, hogy eszközönként egyetlen folyamatot futtasson, visszafejtse a beágyazott Command-and-Control (C2) domaineket, feloldja a C2 IP-címet DNS-over-TLS használatával, és végrehajtsa az operátoroktól kapott parancsokat.
Rekordokat döntő lépték és aktivitás
A Kimwolf állítólag mindössze három nap alatt, 2025. november 19. és 22. között 1,7 milliárd DDoS támadási parancsot adott ki. Az egyik C2-doménjük, a 14emeliaterracewestroxburyma02132[.]su, rövid időre még a Cloudflare 100 legjobb domainje között is megjelent, ideiglenesen megelőzve a Google-t.
Az elsődleges fertőzési célpontok közé tartoznak a lakossági TV-készülékek, mint például:
- TV BOX, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Földrajzilag a fertőzések Brazíliában, Indiában, az Egyesült Államokban, Argentínában, Dél-Afrikában és a Fülöp-szigeteken koncentrálódnak, bár a pontos terjedési mód továbbra sem tisztázott.
Evolúció és rugalmasság
A Kimwolf fejlett alkalmazkodóképességről tesz tanúbizonyságot. C2-doménjeit legalább háromszor távolították el 2025 decemberében, ami arra késztette az üzemeltetőket, hogy Ethereum Name Service (ENS) domaineket használjanak az infrastruktúra megerősítése érdekében. A rosszindulatú program legújabb verziói tartalmazzák az EtherHiding-et, egy olyan technikát, amely intelligens szerződéseken keresztül lekéri a tényleges C2 IP-címet, és XOR műveletekkel átalakítja azt, ami sokkal megnehezíti az eltávolítást.
Csatlakozás az AISURU-hoz és a megosztott infrastruktúrához
Bizonyítékok kötik Kimwolfot az AISURU botnethez, amely rekorddöntő DDoS-támadásairól ismert:
- Mindkét botnet ugyanazon fertőzött eszközökön létezett együtt 2025 szeptembere és novembere között.
- Az APK-csomagok és a kódaláíró tanúsítványok hasonlóságai („John Dinglebert Dinglenut VIII VanSack Smith”) közös fejlesztési eredetre utalnak.
- Egy letöltőszerver (93.95.112[.]59) megerősítette a Kimwolf és az AISURU APK-kra hivatkozó szkriptek jelenlétét.
Ez a kapcsolat arra utal, hogy egyetlen hackercsoport üzemelteti mindkét botnetet a maximális elérés és az észlelés elkerülése érdekében.
Támadási képességek és bevételszerzés
A Kimwolf 13 különböző DDoS metódust támogat UDP, TCP és ICMP protokollon keresztül, olyan országokat célozva meg, mint az Egyesült Államok, Kína, Franciaország, Németország és Kanada. Érdekes módon a kiadott parancsok több mint 96%-a fertőzött csomópontok proxy szolgáltatásként való használatára irányul, ami erős profitmotívációra utal.
A feltört eszközökre telepített további összetevők a következők:
- Rust-alapú Command Client – proxy hálózatot épít
- ByteConnect SDK – bevételszerzésre a fejlesztők és az eszköztulajdonosok számára az IoT-forgalomból
- A TLS titkosítás minden kommunikációt biztosít, miközben a C2-kiszolgálókkal és a DNS-feloldókkal kapcsolatos érzékeny adatok is titkosítva vannak, növelve a működési lopakodást.
Az óriás botnetek tágabb kontextusa
A Mirai 2016-os megjelenése óta az óriási IoT botnetek jelentősen fejlődtek. A korai verziók elsősorban a szélessávú routereket és kamerákat célozták meg, de a modern botnetek, mint például a Badbox, a Bigpanzi, a Vo1d és a Kimwolf, egyre inkább az okostévékre és TV-dobozokra összpontosítanak, ami tükrözi a támadók érdeklődésének eltolódását a nagy sávszélességű fogyasztói eszközök felé.
