Botnet Kimwolf
Gli esperti di sicurezza informatica hanno scoperto una botnet DDoS (Distributed Denial-of-Service) di grandi dimensioni, nota come Kimwolf, che ha già coinvolto oltre 1,8 milioni di dispositivi infetti, tra cui TV, decoder e tablet basati su Android. Le prime indagini suggeriscono una potenziale connessione con la famigerata botnet AISURU. La scoperta evidenzia la crescente sofisticazione del malware mirato all'IoT e sottolinea la necessità critica di vigilare sulla protezione dei dispositivi connessi.
Sommario
Anatomia di Kimwolf
Kimwolf è sviluppato utilizzando il Native Development Kit (NDK) e combina molteplici funzionalità che vanno oltre i tradizionali attacchi DDoS. Le caratteristiche principali includono:
- Inoltro proxy
- Accesso shell inverso
- Funzioni di gestione dei file
Il malware della botnet è progettato per eseguire un singolo processo per dispositivo, decifrare i domini Command-and-Control (C2) incorporati, risolvere l'IP C2 utilizzando DNS-over-TLS ed eseguire i comandi ricevuti dai suoi operatori.
Scala e attività da record
In soli tre giorni, dal 19 al 22 novembre 2025, Kimwolf avrebbe emesso 1,7 miliardi di comandi di attacco DDoS. Uno dei suoi domini C2, 14emeliaterracewestroxburyma02132[.]su, è persino apparso brevemente tra i primi 100 domini di Cloudflare, superando temporaneamente Google.
I principali obiettivi dell'infezione includono i decoder TV residenziali come:
- TV BOX, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, Smart TV, MX10
Dal punto di vista geografico, le infezioni sono concentrate in Brasile, India, Stati Uniti, Argentina, Sudafrica e Filippine, anche se il metodo esatto di propagazione rimane poco chiaro.
Evoluzione e resilienza
Kimwolf dimostra un'adattabilità avanzata. I suoi domini C2 sono stati rimossi almeno tre volte nel dicembre 2025, spingendo gli operatori ad adottare domini Ethereum Name Service (ENS) per rafforzare l'infrastruttura. Versioni recenti del malware incorporano EtherHiding, una tecnica che recupera l'IP C2 effettivo tramite contratti intelligenti e lo trasforma tramite operazioni XOR, rendendo le rimozioni molto più difficili.
Collegamento ad AISURU e infrastruttura condivisa
Le prove collegano Kimwolf alla botnet AISURU, nota per gli attacchi DDoS da record:
- Entrambe le botnet hanno coesistito sugli stessi dispositivi infetti tra settembre e novembre 2025.
- Le somiglianze nei pacchetti APK e nei certificati di firma del codice ('John Dinglebert Dinglenut VIII VanSack Smith') suggeriscono un'origine di sviluppo condivisa.
- Un server di download (93.95.112[.]59) ha confermato la presenza di script che fanno riferimento sia agli APK Kimwolf che AISURU.
Questa relazione suggerisce che un singolo gruppo di hacker potrebbe potenzialmente gestire entrambe le botnet per massimizzare la portata ed eludere il rilevamento.
Capacità di attacco e monetizzazione
Kimwolf supporta 13 diversi metodi DDoS su UDP, TCP e ICMP, prendendo di mira paesi come Stati Uniti, Cina, Francia, Germania e Canada. È interessante notare che oltre il 96% dei comandi emessi mira a utilizzare nodi infetti come servizi proxy, il che indica una forte motivazione di profitto.
I componenti aggiuntivi distribuiti sui dispositivi compromessi includono:
- Client di comandi basato su Rust: crea una rete proxy
- ByteConnect SDK: monetizza il traffico IoT per sviluppatori e proprietari di dispositivi
- La crittografia TLS protegge tutte le comunicazioni, mentre i dati sensibili sui server C2 e sui resolver DNS vengono anch'essi crittografati, aumentando la segretezza operativa.
Il contesto più ampio delle botnet giganti
Dall'avvento di Mirai nel 2016, le botnet IoT di grandi dimensioni si sono evolute in modo significativo. Le prime versioni prendevano di mira principalmente router e telecamere a banda larga, ma botnet moderne come Badbox, Bigpanzi, Vo1d e Kimwolf si stanno concentrando sempre più su smart TV e TV box, riflettendo il cambiamento di interesse degli aggressori verso dispositivi consumer ad alta larghezza di banda.
