Botnet Kimwolf
Pakar keselamatan siber telah menemui botnet penafian perkhidmatan teragih (DDoS) besar-besaran yang dikenali sebagai Kimwolf, yang telah pun menyenaraikan lebih 1.8 juta peranti yang dijangkiti. Ini termasuk TV berasaskan Android, kotak set-top dan tablet. Siasatan awal mencadangkan potensi hubungan dengan botnet AISURU yang terkenal. Penemuan ini menonjolkan peningkatan kecanggihan perisian hasad yang disasarkan kepada IoT dan menggariskan keperluan kritikal untuk berwaspada dalam melindungi peranti yang disambungkan.
Isi kandungan
Anatomi Kimwolf
Kimwolf dibina menggunakan Kit Pembangunan Asli (NDK) dan menggabungkan pelbagai keupayaan melangkaui serangan DDoS tradisional. Ciri-ciri utama termasuk:
- Penghantaran proksi
- Akses shell terbalik
- Fungsi pengurusan fail
Perisian hasad botnet direka bentuk untuk menjalankan satu proses bagi setiap peranti, menyahsulit domain Perintah dan Kawalan (C2) terbenam, menyelesaikan IP C2 menggunakan DNS-melalui-TLS dan melaksanakan arahan yang diterima daripada pengendalinya.
Skala dan Aktiviti Pemecah Rekod
Hanya dalam masa tiga hari, dari 19–22 November 2025, Kimwolf dilaporkan telah mengeluarkan 1.7 bilion arahan serangan DDoS. Salah satu domain C2nya, 14emeliaterracewestroxburyma02132[.]su, malah muncul seketika antara 100 domain teratas Cloudflare, mengatasi Google buat sementara waktu.
Sasaran jangkitan utama termasuk kotak TV kediaman seperti:
- TV BOX, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Secara geografi, jangkitan tertumpu di Brazil, India, AS, Argentina, Afrika Selatan dan Filipina, walaupun kaedah penyebaran yang tepat masih tidak jelas.
Evolusi dan Daya Tahan
Kimwolf menunjukkan kebolehsuaian yang canggih. Domain C2nya telah dipadamkan sekurang-kurangnya tiga kali pada Disember 2025, mendorong pengendali untuk menerima pakai domain Ethereum Name Service (ENS) bagi mengukuhkan infrastruktur. Versi terkini perisian hasad ini menggabungkan EtherHiding, teknik yang mengambil IP C2 sebenar melalui kontrak pintar dan mengubahnya melalui operasi XOR, menjadikan pemadaman jauh lebih sukar.
Sambungan ke AISURU dan Infrastruktur Kongsi
Bukti mengaitkan Kimwolf dengan botnet AISURU, yang dikenali kerana serangan DDoS yang memecahkan rekod:
- Kedua-dua botnet wujud bersama pada peranti yang dijangkiti yang sama antara September dan November 2025.
- Persamaan dalam pakej APK dan sijil penandatanganan kod ('John Dinglebert Dinglenut VIII VanSack Smith') mencadangkan asal usul pembangunan yang dikongsi.
- Pelayan pemuat turun (93.95.112[.]59) mengesahkan kehadiran skrip yang merujuk kepada APK Kimwolf dan AISURU.
Hubungan ini membayangkan satu kumpulan penggodam yang berpotensi mengendalikan kedua-dua botnet untuk memaksimumkan jangkauan dan mengelakkan pengesanan.
Keupayaan Serangan dan Pengewangan
Kimwolf menyokong 13 kaedah DDoS berbeza melalui UDP, TCP dan ICMP, menyasarkan negara-negara termasuk AS, China, Perancis, Jerman dan Kanada. Menariknya, lebih 96% arahan yang dikeluarkan ditujukan untuk menggunakan nod yang dijangkiti sebagai perkhidmatan proksi, menunjukkan motif keuntungan yang kuat.
Komponen tambahan yang digunakan pada peranti yang terjejas termasuk:
- Klien Perintah Berasaskan Karat – membina rangkaian proksi
- ByteConnect SDK – menjana keuntungan daripada trafik IoT untuk pembangun dan pemilik peranti
- Penyulitan TLS menjamin keselamatan semua komunikasi, manakala data sensitif tentang pelayan C2 dan penyelesai DNS juga disulitkan, sekali gus meningkatkan kerahsiaan operasi.
Konteks Botnet Gergasi yang Lebih Luas
Sejak kemunculan Mirai pada tahun 2016, botnet IoT gergasi telah berkembang dengan ketara. Versi awal terutamanya menyasarkan penghala dan kamera jalur lebar, tetapi botnet moden seperti Badbox, Bigpanzi, Vo1d dan Kimwolf semakin menumpukan pada TV pintar dan kotak TV, mencerminkan minat penyerang yang beralih ke arah peranti pengguna jalur lebar tinggi.
