Kimwolf Botnet
Nettsikkerhetseksperter har avdekket et massivt distribuert denial-of-service (DDoS) botnett kjent som Kimwolf, som allerede har registrert over 1,8 millioner infiserte enheter. Disse inkluderer Android-baserte TV-er, dekodere og nettbrett. Tidlige undersøkelser tyder på en potensiell forbindelse til det beryktede AISURU botnettet. Oppdagelsen fremhever den økende sofistikasjonen av IoT-rettet skadelig programvare og understreker det kritiske behovet for årvåkenhet for å beskytte tilkoblede enheter.
Innholdsfortegnelse
Kimwolfs anatomi
Kimwolf er bygget med Native Development Kit (NDK) og kombinerer flere funksjoner utover tradisjonelle DDoS-angrep. Viktige funksjoner inkluderer:
- Proxy-videresending
- Omvendt skalltilgang
- Filbehandlingsfunksjoner
Botnettets skadelige programvare er designet for å kjøre én prosess per enhet, dekryptere innebygde kommando-og-kontroll (C2)-domener, løse C2-IP-en ved hjelp av DNS-over-TLS og utføre kommandoer mottatt fra operatørene.
Rekordstor skala og aktivitet
På bare tre dager, fra 19. til 22. november 2025, skal Kimwolf ha utstedt 1,7 milliarder DDoS-angrepskommandoer. Et av C2-domenene deres, 14emeliaterracewestroxburyma02132[.]su, dukket til og med kort opp blant Cloudflares 100 beste domener, og overgikk dermed midlertidig Google.
Primære infeksjonsmål inkluderer TV-bokser til boliger som:
- TV-BOKS, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Geografisk er infeksjonene konsentrert i Brasil, India, USA, Argentina, Sør-Afrika og Filippinene, selv om den nøyaktige spredningsmetoden fortsatt er uklar.
Evolusjon og motstandskraft
Kimwolf demonstrerer avansert tilpasningsevne. C2-domenene deres har blitt tatt ned minst tre ganger i desember 2025, noe som har fått operatørene til å ta i bruk Ethereum Name Service (ENS)-domener for å styrke infrastrukturen. Nyere versjoner av skadevaren inkluderer EtherHiding, en teknikk som henter den faktiske C2-IP-adressen via smarte kontrakter og transformerer den gjennom XOR-operasjoner, noe som gjør nedtakelser langt vanskeligere.
Tilkobling til AISURU og delt infrastruktur
Bevis knytter Kimwolf til AISURU-botnettet, kjent for rekordbrytende DDoS-angrep:
- Begge botnettene eksisterte samtidig på de samme infiserte enhetene mellom september og november 2025.
- Likheter i APK-pakker og kodesigneringssertifikater ('John Dinglebert Dinglenut VIII VanSack Smith') antyder en delt utviklingsopprinnelse.
- En nedlastingsserver (93.95.112[.]59) bekreftet tilstedeværelsen av skript som refererer til både Kimwolf- og AISURU-APK-er.
Dette forholdet hinter til at én enkelt hackergruppe potensielt opererer begge botnettene for å maksimere rekkevidden og unngå deteksjon.
Angrepsmuligheter og inntektsgenerering
Kimwolf støtter 13 forskjellige DDoS-metoder over UDP, TCP og ICMP, og er rettet mot land som USA, Kina, Frankrike, Tyskland og Canada. Interessant nok er over 96 % av utstedte kommandoer rettet mot å bruke infiserte noder som proxy-tjenester, noe som indikerer et sterkt profittmotiv.
Ytterligere komponenter som er distribuert på kompromitterte enheter inkluderer:
- Rustbasert kommandoklient – bygger et proxy-nettverk
- ByteConnect SDK – tjener penger på IoT-trafikk for utviklere og enhetseiere
- TLS-kryptering sikrer all kommunikasjon, mens sensitive data om C2-servere og DNS-resolvere også krypteres, noe som øker operasjonell stealth.
Den bredere konteksten til gigantiske botnett
Siden Mirais fremvekst i 2016 har gigantiske IoT-botnett utviklet seg betydelig. Tidlige versjoner var primært rettet mot bredbåndsrutere og kameraer, men moderne botnett som Badbox, Bigpanzi, Vo1d og Kimwolf fokuserer i økende grad på smart-TV-er og TV-bokser, noe som gjenspeiler angripernes skiftende interesser mot forbrukerenheter med høy båndbredde.
