Kimwolf बोटनेट

साइबर सुरक्षा विज्ञहरूले किमवुल्फ भनेर चिनिने एक विशाल वितरित डिनायल-अफ-सर्भिस (DDoS) बोटनेट पत्ता लगाएका छन्, जसले पहिले नै १.८ मिलियन भन्दा बढी संक्रमित उपकरणहरू सूचीबद्ध गरिसकेको छ। यसमा एन्ड्रोइड-आधारित टिभीहरू, सेट-टप बक्सहरू र ट्याब्लेटहरू समावेश छन्। प्रारम्भिक अनुसन्धानहरूले कुख्यात AISURU बोटनेटसँग सम्भावित जडानको सुझाव दिन्छ। यो खोजले IoT-लक्षित मालवेयरको बढ्दो परिष्कारलाई हाइलाइट गर्दछ र जडान गरिएका उपकरणहरूको सुरक्षामा सतर्कताको महत्वपूर्ण आवश्यकतालाई जोड दिन्छ।

किमवुल्फको शरीर रचना

किमवुल्फ नेटिभ डेभलपमेन्ट किट (NDK) प्रयोग गरेर बनाइएको हो र यसले परम्परागत DDoS आक्रमणभन्दा बाहिरका धेरै क्षमताहरूलाई संयोजन गर्दछ। मुख्य विशेषताहरूमा समावेश छन्:

• प्रोक्सी फर्वार्डिङ
• उल्टो शेल पहुँच
• फाइल व्यवस्थापन कार्यहरू

बोटनेटको मालवेयर प्रति उपकरण एउटै प्रक्रिया चलाउन, एम्बेडेड कमाण्ड-एन्ड-कन्ट्रोल (C2) डोमेनहरू डिक्रिप्ट गर्न, DNS-over-TLS प्रयोग गरेर C2 IP समाधान गर्न र यसको अपरेटरहरूबाट प्राप्त आदेशहरू कार्यान्वयन गर्न डिजाइन गरिएको हो।

रेकर्ड तोड्ने स्केल र गतिविधि

नोभेम्बर १९-२२, २०२५ सम्म, केवल तीन दिनमा, किमवुल्फले १.७ अर्ब DDoS आक्रमण आदेशहरू जारी गरेको रिपोर्ट गरिएको छ। यसको C2 डोमेनहरू मध्ये एक, 14emeliaterracewestroxburyma02132[.]su, Cloudflare को शीर्ष १०० डोमेनहरूमा छोटो समयको लागि देखा पर्‍यो, जसले Google लाई अस्थायी रूपमा उछिनेको थियो।

प्राथमिक संक्रमण लक्ष्यहरूमा आवासीय टिभी बक्सहरू समावेश छन् जस्तै:

• टिभी बक्स, सुपरबक्स, हाइडीपीटीएन्ड्रोइड
• P200, X96Q, XBOX, SmartTV, MX10

भौगोलिक रूपमा, संक्रमण ब्राजिल, भारत, अमेरिका, अर्जेन्टिना, दक्षिण अफ्रिका र फिलिपिन्समा केन्द्रित छ, यद्यपि सही प्रसार विधि स्पष्ट छैन।

विकास र लचिलोपन

किमवुल्फले उन्नत अनुकूलन क्षमता प्रदर्शन गर्दछ। डिसेम्बर २०२५ मा यसको C2 डोमेनहरू कम्तिमा तीन पटक हटाइएको छ, जसले गर्दा अपरेटरहरूले पूर्वाधारलाई बलियो बनाउन इथरियम नेम सर्भिस (ENS) डोमेनहरू अपनाउन प्रेरित भएका छन्। मालवेयरको हालैका संस्करणहरूमा इथरहाइडिङ समावेश छ, जुन एक प्रविधि हो जसले स्मार्ट अनुबंधहरू मार्फत वास्तविक C2 IP प्राप्त गर्दछ र XOR अपरेशनहरू मार्फत रूपान्तरण गर्दछ, जसले गर्दा टेकडाउनहरू धेरै गाह्रो हुन्छन्।

AISURU र साझा पूर्वाधारसँगको जडान

किमवुल्फलाई रेकर्ड तोड्ने DDoS आक्रमणहरूको लागि परिचित AISURU बोटनेटसँग जोड्ने प्रमाणहरू छन्:

• सेप्टेम्बर र नोभेम्बर २०२५ को बीचमा दुवै बोटनेटहरू एउटै संक्रमित उपकरणहरूमा सहअस्तित्वमा थिए।
• APK प्याकेजहरू र कोड साइनिङ प्रमाणपत्रहरू ('जोन डिंगलबर्ट डिंगलनट VIII भ्यानस्याक स्मिथ') मा समानताहरूले साझा विकास उत्पत्तिको सुझाव दिन्छ।
• एउटा डाउनलोडर सर्भर (93.95.112[.]59) ले Kimwolf र AISURU APK दुवैलाई सन्दर्भ गर्ने स्क्रिप्टहरूको उपस्थिति पुष्टि गर्‍यो।

यो सम्बन्धले एउटै ह्याकर समूहले सम्भावित रूपमा पहुँच अधिकतम बनाउन र पत्ता लगाउनबाट बच्न दुवै बोटनेटहरू सञ्चालन गरिरहेको संकेत गर्छ।

आक्रमण क्षमताहरू र मुद्रीकरण

किमवुल्फले UDP, TCP, र ICMP मा १३ फरक DDoS विधिहरूलाई समर्थन गर्दछ, जसले अमेरिका, चीन, फ्रान्स, जर्मनी र क्यानडा लगायतका देशहरूलाई लक्षित गर्दछ। चाखलाग्दो कुरा के छ भने, जारी गरिएका ९६% भन्दा बढी आदेशहरू संक्रमित नोडहरूलाई प्रोक्सी सेवाहरूको रूपमा प्रयोग गर्न निर्देशित छन्, जसले बलियो नाफाको उद्देश्यलाई संकेत गर्दछ।

सम्झौता गरिएका उपकरणहरूमा तैनाथ गरिएका थप कम्पोनेन्टहरू समावेश छन्:

• रस्ट-आधारित कमाण्ड क्लाइन्ट - प्रोक्सी नेटवर्क निर्माण गर्दछ
• बाइटकनेक्ट एसडीके - विकासकर्ताहरू र उपकरण मालिकहरूको लागि आईओटी ट्राफिकलाई मुद्रीकरण गर्दछ
• TLS इन्क्रिप्शनले सबै सञ्चारहरू सुरक्षित गर्दछ, जबकि C2 सर्भरहरू र DNS रिजल्भरहरूको बारेमा संवेदनशील डेटा पनि इन्क्रिप्ट गरिएको छ, जसले गर्दा सञ्चालन चोरी बढ्छ।

विशाल बोटनेटको फराकिलो सन्दर्भ

२०१६ मा मिराईको उदय भएदेखि, विशाल IoT बोटनेटहरू उल्लेखनीय रूपमा विकसित भएका छन्। प्रारम्भिक संस्करणहरूले मुख्यतया ब्रॉडब्यान्ड राउटरहरू र क्यामेराहरूलाई लक्षित गरेका थिए, तर ब्याडबक्स, बिगपान्जी, Vo1d, र किमवुल्फ जस्ता आधुनिक बोटनेटहरूले स्मार्ट टिभी र टिभी बक्सहरूमा बढ्दो रूपमा ध्यान केन्द्रित गरिरहेका छन्, जसले आक्रमणकारीहरूको उच्च-ब्यान्डविथ उपभोक्ता उपकरणहरूतर्फको रुचिलाई प्रतिबिम्बित गर्दछ।