Rabatttilbud for flere lisenser
Trusseldatabase Botnett Kimwolf Botnet-kampanje

Kimwolf Botnet-kampanje

Med Mezo i Botnett
Oversett til:

Sikkerhetsforskere har avdekket et massivt Android-fokusert botnett kjent som Kimwolf, som har kompromittert over to millioner enheter ved å utnytte proxy-nettverk i boliger. Skadevaren forvandler hverdagslig maskinvare til en global angrepsplattform, som i stillhet ruter ondsinnet trafikk og muliggjør storskala distribuerte denial-of-service (DDoS)-operasjoner. Observasjoner viser omtrent 12 millioner unike IP-adresser hver uke, noe som fremhever det ekstraordinære omfanget av denne operasjonen.

Opprinnelse, evolusjon og koblinger til AISURU

Kimwolf ble først offentlig analysert i desember 2025 , da etterforskere identifiserte sterke tekniske og infrastrukturelle bånd til et annet botnett kalt AISURU. Bevis tyder på at Kimwolf har vært aktiv siden minst august 2025 og representerer en Android-basert utvikling av AISURU. Forskere tror i økende grad at dette botnettet drev flere rekordbrytende DDoS-kampanjer observert mot slutten av fjoråret.

Globalt infeksjonsavtrykk og målrettede enheter

Selv om Kimwolf har en verdensomspennende tilstedeværelse, er infeksjonene sterkt konsentrert i Vietnam, Brasil, India og Saudi-Arabia. En betydelig andel av de kompromitterte systemene er uoffisielle Android-smart-TV-er og dekodere, hvorav mange leveres med usikre standardkonfigurasjoner.

Minst 67 % av tilkoblede enheter eksponerer en uautorisert Android Debug Bridge (ADB)-tjeneste, noe som gjør dem åpne for fjernkontroll. Etterforskere mistenker at mange av disse produktene er forhåndslastet med proxy-relaterte programvareutviklingssett (SDK-er) før de når forbrukerne, noe som effektivt registrerer dem i proxy-økosystemer som senere blir leveringskanaler for skadelig programvare.

Hvordan Kimwolf sprer og opprettholder kontroll

Kimwolfs operatører er avhengige av store proxy-nettverk i boliger for å skanne internett etter Android-enheter som kjører eksponerte ADB-tjenester. Når skadelig programvare er identifisert, installeres den eksternt, noe som gjør enheten til et trafikkrelé og en angrepsnode. Kjernelasten åpner en lytter på port 40860 og etablerer utgående kommunikasjon med 85.234.91[.]247:1337, hvorfra den mottar operative kommandoer.

Så sent som i desember 2025 ble infeksjoner sporet til proxy-IP-adresser leid fra Kina-baserte IPIDEA, en leverandør som markedsfører seg selv som verdens ledende IP-proxytjeneste med over 6,1 millioner daglig oppdaterte IP-adresser og 69 000 nye adresser hver dag. 27. desember distribuerte IPIDEA en sikkerhetsoppdatering som blokkerte tilgang til lokale nettverk og sensitive porter etter at det dukket opp bevis på at angripere tunnelerte gjennom kundeinstallert proxy-programvare for å nå interne enheter.

Eksponeringen skapt av denne teknikken ble beskrevet av analytikere som enestående, og plasserte millioner av forbrukersystemer direkte i veien for automatisert utnyttelse.

Monetisering: Proxyer, nyttelaster og betalte angrep

Helt fra starten av var Kimwolfs økonomiske motiver klare. Operatørene kommersialiserte aggressivt infrastrukturen sin og gjorde kompromitterte enheter om til profittgenererende eiendeler gjennom flere kanaler:

  • Salg av proxy-tilgang for boliger, annonsert så billig som $0,20 per GB eller omtrent $1400 per måned for ubegrenset båndbredde, noe som tiltrakk seg tidlig adopsjon fra flere proxy-tjenester.
  • Implementering av sekundære SDK-er for inntektsgenerering, spesielt Plainproxies Byteconnect SDK, som ruter betalte proxy-oppgaver fra en kommandoserver til infiserte enheter via 119 dedikerte reléservere.
  • Misbruk av botnettet til nettkriminalitetsoperasjoner, inkludert storstilt DDoS-aktivitet og observerte kampanjer for å stjele legitimasjon mot IMAP-tjenester og populære nettplattformer.

Tilstedeværelsen av forhåndsinfiserte TV-bokser og integreringen av kommersielle SDK-er for båndbreddedeling tyder sterkt på et dypere samarbeid mellom botnettoperatører og segmenter av proxy-økonomien.

Forsvarstiltak og risikoreduksjon

For å redusere lignende trusler kreves det koordinerte tiltak på tvers av både tjenesteleverandører og sluttbrukermiljøer:

  • Proxy-nettverk bør blokkere trafikk som er beregnet på RFC 1918-adresseområder, slik at eksterne kunder ikke kan nå interne private nettverk der forbrukerenheter befinner seg.
  • Organisasjoner og enkeltpersoner må deaktivere eller begrense uautorisert ADB-tilgang på Android-systemer, spesielt innebygde enheter og IoT-lignende enheter som ofte leveres med usikre standardinnstillinger.

Uten disse kontrollene vil private proxy-økosystemer fortsette å gi ideell dekning for storskala distribusjon av skadelig programvare og botnett-utvidelse.

Trender

Mest sett

Laster inn...