KadNap-skadevare
Forskere innen nettsikkerhet har identifisert en nylig fremvoksende skadevarestamme kjent som KadNap, som primært retter seg mot Asus-rutere og rekrutterer dem til et botnett som er designet for å sende ondsinnet internettrafikk. Skadevaren ble først observert i naturen i august 2025, og har allerede infisert mer enn 14 000 enheter over hele verden. Analyser indikerer at over 60 % av de kompromitterte systemene befinner seg i USA, mens mindre klynger av infeksjoner har blitt oppdaget i Taiwan, Hongkong, Russland, Storbritannia, Australia, Brasil, Frankrike, Italia og Spania.
Selv om Asus-rutere ser ut til å være de primære målene, viser undersøkelser at operatørene bak KadNap har utvidet innsatsen til å inkludere et bredere utvalg av edge-nettverksenheter. Denne utvidelsen tyder på et bevisst forsøk på å maksimere størrelsen og robustheten til botnettinfrastrukturen.
Innholdsfortegnelse
Peer-to-peer-skjuling gjennom Kademlia-teknologi
Et definerende trekk ved KadNap-operasjonen er dens avhengighet av en modifisert implementering av Kademlia Distributed Hash Table (DHT)-protokollen. Denne protokollen er integrert i en peer-to-peer-arkitektur som skjuler plasseringen av botnettets infrastruktur ved å skjule kommandosystemer i distribuerte noder.
Kompromitterte enheter kommuniserer via DHT-nettverket for å oppdage og koble til kommando-og-kontroll (C2)-servere. Ved å spre kommunikasjonen på tvers av et desentralisert miljø unngår skadevaren å være avhengig av et enkelt infrastrukturpunkt, noe som kompliserer tradisjonelle deteksjons- og fjerningsarbeid betydelig. Tilnærmingen blander effektivt ondsinnet trafikk inn i legitim peer-to-peer-nettverksaktivitet, noe som gjør overvåking og forstyrrelser betydelig vanskeligere for forsvarere.
Infeksjonsmekanisme og persistensstrategi
Infeksjonskjeden starter med et skallskript kalt aic.sh, som lastes ned fra en kommandoserver som ligger på IP-adressen 212.104.141.140. Dette skriptet starter prosessen med å integrere den kompromitterte enheten i botnettets peer-to-peer-økosystem.
Skriptet etablerer persistens ved å opprette en planlagt cron-jobb som henter det samme skriptet etter 55 minutter hver time. Hver gang det lastes ned, omdøpes skriptet til '.asusrouter' og kjøres. Når persistensen er sikret, laster skriptet ned en ondsinnet ELF-binærfil, gir den nyttenavnet kad og kjører den, og distribuerer dermed effektivt KadNap-skadevarenyttelasten. Skadevaren er konstruert for å fungere på enheter som bruker både ARM- og MIPS-prosessorer, noe som gjør det mulig å kompromittere et bredt spekter av ruterarkitekturer.
Tidsbasert peer-oppdagelse og nettverkskoordinering
KadNap har en mekanisme for å synkronisere aktivitet på tvers av sitt desentraliserte nettverk. Skadevaren kobler seg til en Network Time Protocol (NTP)-server for å hente gjeldende systemtid og kombinerer den med den infiserte enhetens oppetidsinformasjon. Disse verdiene brukes til å generere en hash som hjelper den infiserte enheten med å finne motparter i det distribuerte nettverket.
Denne prosessen gjør det mulig for kompromitterte systemer å oppdage andre noder, innhente instruksjoner og laste ned ytterligere skadelige filer uten å være avhengig av en sentralisert kommandostruktur. Støtteskript som fwr.sh og /tmp/.sose utfører også tilleggsoppgaver, inkludert deaktivering av port 22, standard TCP-porten som brukes av Secure Shell (SSH), og utpakking av lister over C2-serveradresser og portkombinasjoner som brukes til videre kommunikasjon.
Kommersialisering av botnettet gjennom proxy-tjenester
Når rutere er kompromittert, integreres de i et kommersielt proxy-nettverk som markedsføres under navnet Doppelgänger gjennom nettstedet doppelganger.shop. Sikkerhetsforskere vurderer denne tjenesten til å være en omdøpt versjon av Faceless, en proxy-plattform som tidligere var assosiert med TheMoon-skadevaren.
I følge reklamemateriell publisert av tjenesten, tilbyr nettverket proxy-tilgang for boliger i mer enn 50 land og annonserer «100 % anonymitet» for brukere. Bevis tyder på at plattformen ble lansert rundt mai eller juni 2025. Infrastrukturen segmenterer infiserte enheter etter type og modell, ettersom ikke alle kompromitterte enheter kommuniserer med alle kommandoservere. Denne segmenteringen indikerer en strukturert og skalerbar strategi for botnetthåndtering.
Proxy-nettverket har allerede blitt observert utnyttet av flere trusselaktører. Tilskrivelse er imidlertid fortsatt vanskelig fordi rutere involvert i nettverket noen ganger samtidig infiseres med flere skadevarefamilier, noe som tilslører hvilken aktør som er ansvarlig for spesifikke ondsinnede aktiviteter.
Forsvarstiltak for rutereiere
Fremveksten av KadNap fremhever den økende risikoen som dårlig sikrede kantenheter utgjør i både hjemme- og småkontormiljøer. Nettverksforsvarere og individuelle brukere kan redusere eksponeringen betydelig ved å ta i bruk flere sikkerhetspraksiser:
- Vedlikehold rutere og nettverksenheter med de nyeste fastvaren og sikkerhetsoppdateringene.
- Start enheter på nytt med jevne mellomrom for å fjerne midlertidige, skadelige prosesser når det er aktuelt.
- Erstatt standardlegitimasjon med sterke, unike passord.
- Begrens og sikre administrative grensesnitt.
- Pensjoner og erstatt rutere som har nådd slutten av levetiden og ikke lenger mottar sikkerhetsoppdateringer fra leverandørene.
Et desentralisert botnett designet for stealth
KadNap skiller seg fra mange tradisjonelle botnett som støtter anonyme proxy-tjenester ved bruk av en desentralisert peer-to-peer-arkitektur. Ved å utnytte Kademlia DHT-protokollen distribuerer botnettet kontroll på tvers av infiserte enheter i stedet for å stole på lett identifiserbare sentraliserte servere.
Denne arkitekturen gir operatører robuste kommunikasjonskanaler som er betydelig vanskeligere å oppdage, blokkere eller demontere. Det strategiske målet er klart: opprettholde driftskontinuitet, unngå sikkerhetsovervåking og komplisere defensive responsinnsatsen for cybersikkerhetsteam.
