Preventivo sconto multi-licenza
Database delle minacce Botnet Campagna botnet Kimwolf

Campagna botnet Kimwolf

Entro Mezo nel Botnet
Traduci in:

I ricercatori di sicurezza hanno scoperto una botnet di grandi dimensioni incentrata su Android, nota come Kimwolf, che ha compromesso oltre due milioni di dispositivi sfruttando reti proxy residenziali. Il malware trasforma l'hardware di consumo di uso quotidiano in una piattaforma di attacco globale, instradando silenziosamente il traffico dannoso e consentendo operazioni DDoS (Distributed Denial-of-Service) su larga scala. Le osservazioni mostrano circa 12 milioni di indirizzi IP univoci ogni settimana, evidenziando la straordinaria portata di questa operazione.

Origini, evoluzione e collegamenti con AISURU

Kimwolf è stato analizzato pubblicamente per la prima volta nel dicembre 2025 , quando gli investigatori hanno identificato forti legami tecnici e infrastrutturali con un'altra botnet chiamata AISURU. Le prove suggeriscono che Kimwolf sia attivo almeno dall'agosto 2025 e rappresenti un'evoluzione di AISURU basata su Android. I ricercatori ritengono sempre più che questa botnet abbia alimentato diverse campagne DDoS da record osservate verso la fine dello scorso anno.

Impronta globale delle infezioni e dispositivi mirati

Sebbene Kimwolf sia presente in tutto il mondo, le infezioni sono concentrate principalmente in Vietnam, Brasile, India e Arabia Saudita. Una parte significativa dei sistemi compromessi è costituita da smart TV e decoder Android non ufficiali, molti dei quali vengono forniti con configurazioni predefinite non sicure.

Almeno il 67% dei dispositivi connessi espone un servizio Android Debug Bridge (ADB) non autenticato, rendendoli vulnerabili al controllo remoto. Gli investigatori sospettano che molti di questi prodotti siano precaricati con kit di sviluppo software (SDK) correlati al proxy prima di raggiungere i consumatori, iscrivendoli di fatto a ecosistemi proxy che in seguito diventano canali di distribuzione per malware.

Come Kimwolf si diffonde e mantiene il controllo

Gli operatori di Kimwolf si affidano a grandi reti proxy residenziali per scansionare Internet alla ricerca di dispositivi Android che eseguono servizi ADB esposti. Una volta identificato, il malware viene installato da remoto, trasformando il dispositivo in un relay di traffico e in un nodo di attacco. Il payload principale apre un listener sulla porta 40860 e stabilisce una comunicazione in uscita con 85.234.91[.]247:1337, da cui riceve comandi operativi.

Ancora nel dicembre 2025, le infezioni sono state ricondotte a indirizzi IP proxy noleggiati da IPIDEA, un provider con sede in Cina che si autodefinisce il principale servizio proxy IP al mondo, con oltre 6,1 milioni di IP aggiornati ogni giorno e 69.000 nuovi indirizzi. Il 27 dicembre, IPIDEA ha implementato un aggiornamento di sicurezza che bloccava l'accesso alle reti locali e alle porte sensibili, dopo che erano emerse prove che gli aggressori stavano sfruttando il software proxy installato dai clienti per raggiungere i dispositivi interni.

L'esposizione creata da questa tecnica è stata descritta dagli analisti come senza precedenti, poiché ha esposto milioni di sistemi di consumo direttamente allo sfruttamento automatizzato.

Monetizzazione: proxy, payload e attacchi a pagamento

Fin dall'inizio, le motivazioni finanziarie di Kimwolf erano chiare. Gli operatori commercializzavano aggressivamente la propria infrastruttura, trasformando i dispositivi compromessi in risorse redditizie attraverso molteplici canali:

  • Vendita di accesso proxy residenziale, pubblicizzata a un prezzo basso pari a 0,20 $ per GB o circa 1.400 $ al mese per una larghezza di banda illimitata, che ha attirato l'adozione precoce da parte di diversi servizi proxy.
  • Implementazione di SDK di monetizzazione secondari, in particolare il Plainproxies Byteconnect SDK, che indirizza le attività proxy a pagamento da un server di comando ai dispositivi infetti tramite 119 server relay dedicati.
  • Abuso della botnet per operazioni di criminalità informatica, tra cui attività DDoS su larga scala e campagne di credential stuffing osservate contro servizi IMAP e piattaforme online popolari.

La presenza di TV box pre-infettati e l'integrazione di SDK commerciali per la condivisione della larghezza di banda suggeriscono fortemente una collaborazione sempre più approfondita tra gli operatori di botnet e i segmenti dell'economia proxy.

Misure difensive e riduzione del rischio

Per mitigare minacce simili, è necessaria un'azione coordinata tra i fornitori di servizi e gli ambienti degli utenti finali:

  • Le reti proxy dovrebbero bloccare il traffico destinato agli intervalli di indirizzi RFC 1918, impedendo ai clienti esterni di raggiungere le reti private interne in cui risiedono i dispositivi dei consumatori.
  • Le organizzazioni e gli individui devono disabilitare o limitare l'accesso ADB non autenticato sui sistemi Android, in particolare sui dispositivi embedded e di tipo IoT che spesso vengono forniti con impostazioni predefinite non sicure.

Senza questi controlli, gli ecosistemi proxy residenziali continueranno a fornire una copertura ideale per la distribuzione di malware su larga scala e l'espansione di botnet.

Tendenza

I più visti

Caricamento in corso...