Preventivo sconto multi-licenza
Database delle minacce Malware Malware KadNap

Malware KadNap

Entro Mezo nel Malware
Traduci in:

I ricercatori di sicurezza informatica hanno identificato una nuova variante di malware, nota come KadNap, che prende di mira principalmente i router Asus e li recluta in una botnet progettata per instradare traffico internet dannoso. Osservato per la prima volta nell'agosto del 2025, il malware ha già infettato oltre 14.000 dispositivi in tutto il mondo. Le analisi indicano che oltre il 60% dei sistemi compromessi si trova negli Stati Uniti, mentre sono stati rilevati focolai di infezione anche a Taiwan, Hong Kong, Russia, Regno Unito, Australia, Brasile, Francia, Italia e Spagna.

Sebbene i router Asus sembrino essere gli obiettivi principali, le indagini mostrano che gli operatori di KadNap hanno ampliato i loro sforzi per includere una gamma più ampia di dispositivi di edge networking. Questa espansione suggerisce un tentativo deliberato di massimizzare le dimensioni e la resilienza dell'infrastruttura della botnet.

Occultamento peer-to-peer tramite la tecnologia Kademlia

Una caratteristica distintiva dell'operazione KadNap è il suo affidamento su un'implementazione modificata del protocollo Kademlia Distributed Hash Table (DHT). Questo protocollo è integrato in un'architettura peer-to-peer che nasconde l'ubicazione dell'infrastruttura della botnet nascondendo i sistemi di comando all'interno dei nodi distribuiti.

I dispositivi compromessi comunicano attraverso la rete DHT per individuare e connettersi ai server di comando e controllo (C2). Distribuendo la comunicazione in un ambiente decentralizzato, il malware evita di dipendere da un singolo punto infrastrutturale, complicando notevolmente le tradizionali attività di rilevamento e neutralizzazione. Questo approccio integra efficacemente il traffico malevolo nell'attività legittima della rete peer-to-peer, rendendo il monitoraggio e l'interruzione considerevolmente più difficili per i difensori.

Meccanismo di infezione e strategia di persistenza

La catena di infezione inizia con uno script shell denominato aic.sh, scaricato da un server di comando ospitato all'indirizzo IP 212.104.141.140. Questo script avvia il processo di integrazione del dispositivo compromesso nell'ecosistema peer-to-peer della botnet.

Lo script si assicura la persistenza creando un'attività pianificata (cron job) che scarica lo stesso script ogni 55 minuti. Ogni volta che viene scaricato, lo script viene rinominato in '.asusrouter' ed eseguito. Una volta assicurata la persistenza, lo script scarica un file binario ELF dannoso, lo rinomina in kad e lo esegue, distribuendo di fatto il payload del malware KadNap. Il malware è stato progettato per funzionare su dispositivi che utilizzano processori sia ARM che MIPS, consentendogli di compromettere un'ampia gamma di architetture di router.

Scoperta tra pari basata sul tempo e coordinamento della rete

KadNap incorpora un meccanismo per sincronizzare l'attività sulla sua rete decentralizzata. Il malware si connette a un server NTP (Network Time Protocol) per recuperare l'ora corrente del sistema e la combina con le informazioni sul tempo di attività del dispositivo infetto. Questi valori vengono utilizzati per generare un hash che aiuta il dispositivo infetto a localizzare i peer all'interno della rete distribuita.

Questo processo consente ai sistemi compromessi di scoprire altri nodi, ottenere istruzioni e scaricare ulteriori file dannosi senza dover ricorrere a una struttura di comando centralizzata. Script di supporto come fwr.sh e /tmp/.sose svolgono anche attività aggiuntive, tra cui la disabilitazione della porta 22, la porta TCP standard utilizzata da Secure Shell (SSH), e l'estrazione di elenchi di combinazioni di indirizzi e porte del server C2 utilizzate per ulteriori comunicazioni.

Commercializzazione della botnet tramite servizi proxy

Una volta compromessi, i router vengono integrati in una rete proxy commerciale commercializzata con il nome Doppelgänger tramite il sito web doppelganger.shop. I ricercatori di sicurezza ritengono che questo servizio sia una versione ribattezzata di Faceless, una piattaforma proxy precedentemente associata al malware TheMoon.

Secondo il materiale promozionale pubblicato dal servizio, la rete offre accesso proxy residenziale in oltre 50 paesi e promette "anonimato al 100%" agli utenti. Le prove suggeriscono che la piattaforma sia stata lanciata intorno a maggio o giugno 2025. L'infrastruttura segmenta i dispositivi infetti per tipo e modello, poiché non tutti i dispositivi compromessi comunicano con tutti i server di comando. Questa segmentazione indica una strategia di gestione della botnet strutturata e scalabile.

È già stato osservato che la rete proxy viene sfruttata da diversi autori di minacce. Tuttavia, l'attribuzione rimane difficile perché i router coinvolti nella rete vengono talvolta infettati simultaneamente da altre famiglie di malware, oscurando così l'identità dell'autore di specifiche attività dannose.

Misure difensive per i proprietari di router

L'ascesa di KadNap evidenzia il crescente rischio rappresentato dai dispositivi edge scarsamente protetti, sia negli ambienti domestici che in quelli dei piccoli uffici. I responsabili della sicurezza della rete e i singoli utenti possono ridurre significativamente l'esposizione adottando diverse pratiche di sicurezza:

  • Mantieni i router e i dispositivi di rete aggiornati con il firmware e gli aggiornamenti di sicurezza più recenti.
  • Riavvia periodicamente i dispositivi per eliminare i processi dannosi temporanei, se necessario.
  • Sostituisci le credenziali predefinite con password complesse e univoche.
  • Limitare e proteggere le interfacce di gestione amministrativa.
  • Dismettere e sostituire i router che hanno raggiunto la fine del loro ciclo di vita e che non ricevono più aggiornamenti di sicurezza dal fornitore.

Una botnet decentralizzata progettata per essere invisibile

KadNap si distingue da molte botnet tradizionali che supportano servizi proxy anonimi grazie all'utilizzo di un'architettura peer-to-peer decentralizzata. Sfruttando il protocollo DHT di Kademlia, la botnet distribuisce il controllo sui dispositivi infetti anziché affidarsi a server centralizzati facilmente identificabili.

Questa architettura fornisce agli operatori canali di comunicazione resilienti, notevolmente più difficili da rilevare, bloccare o smantellare. L'obiettivo strategico è chiaro: mantenere la continuità operativa, eludere il monitoraggio della sicurezza e complicare gli sforzi di risposta difensiva dei team di sicurezza informatica.

Tendenza

I più visti

Caricamento in corso...