Kimwolf बोटनेट अभियान

सुरक्षा अनुसन्धानकर्ताहरूले किमवुल्फ भनेर चिनिने विशाल एन्ड्रोइड-केन्द्रित बोटनेट पत्ता लगाएका छन्, जसले आवासीय प्रोक्सी नेटवर्कहरूको शोषण गरेर २० लाखभन्दा बढी उपकरणहरूलाई ह्याक गरेको छ। मालवेयरले दैनिक उपभोक्ता हार्डवेयरलाई विश्वव्यापी आक्रमण प्लेटफर्ममा रूपान्तरण गर्दछ, चुपचाप दुर्भावनापूर्ण ट्राफिकलाई रूट गर्दछ र ठूलो मात्रामा वितरित डिनायल-अफ-सर्भिस (DDoS) अपरेशनहरू सक्षम गर्दछ। अवलोकनहरूले प्रत्येक हप्ता लगभग १ करोड २० लाख अद्वितीय IP ठेगानाहरू देखाउँछन्, जसले यस अपरेशनको असाधारण दायरालाई हाइलाइट गर्दछ।

उत्पत्ति, विकास, र AISURU सँगको लिङ्कहरू

किमवोल्फको पहिलो पटक सार्वजनिक रूपमा डिसेम्बर २०२५ मा विश्लेषण गरिएको थियो, जब अनुसन्धानकर्ताहरूले AISURU भनिने अर्को बोटनेटसँग बलियो प्राविधिक र पूर्वाधार सम्बन्धहरू पहिचान गरे। प्रमाणहरूले सुझाव दिन्छ कि किमवोल्फ कम्तिमा अगस्ट २०२५ देखि सक्रिय छ र AISURU को एन्ड्रोइड-आधारित विकासको प्रतिनिधित्व गर्दछ। अनुसन्धानकर्ताहरूले बढ्दो रूपमा विश्वास गर्छन् कि यो बोटनेटले गत वर्षको अन्त्यतिर अवलोकन गरिएका धेरै रेकर्ड-ब्रेकिंग DDoS अभियानहरूलाई सञ्चालित गर्‍यो।

विश्वव्यापी संक्रमण पदचिह्न र लक्षित उपकरणहरू

किमवुल्फको विश्वव्यापी उपस्थिति भएतापनि, संक्रमण भियतनाम, ब्राजिल, भारत र साउदी अरेबियामा धेरै केन्द्रित छ। सम्झौता गरिएका प्रणालीहरूको एक महत्त्वपूर्ण भाग अनौपचारिक एन्ड्रोइड स्मार्ट टिभी र सेट-टप बक्सहरू हुन्, जसमध्ये धेरै असुरक्षित पूर्वनिर्धारित कन्फिगरेसनहरूसँग पठाइन्छ।

कम्तिमा ६७% जडान गरिएका उपकरणहरूले अप्रमाणित एन्ड्रोइड डिबग ब्रिज (ADB) सेवालाई उजागर गर्छन्, जसले गर्दा तिनीहरूलाई रिमोट कन्ट्रोलमा खुला छोडिन्छ। अनुसन्धानकर्ताहरूले शंका गर्छन् कि यी धेरै उत्पादनहरू उपभोक्ताहरूसम्म पुग्नु अघि प्रोक्सी-सम्बन्धित सफ्टवेयर विकास किटहरू (SDKs) सँग प्रीलोड गरिएका हुन्छन्, जसले गर्दा उनीहरूलाई प्रभावकारी रूपमा प्रोक्सी इकोसिस्टममा भर्ना गरिन्छ जुन पछि मालवेयरको लागि डेलिभरी च्यानल बन्छन्।

किमवुल्फ कसरी फैलिन्छ र नियन्त्रण कायम राख्छ

किमवोल्फका अपरेटरहरू खुला ADB सेवाहरू चलाउने एन्ड्रोइड उपकरणहरूको लागि इन्टरनेट स्क्यान गर्न ठूला आवासीय प्रोक्सी नेटवर्कहरूमा भर पर्छन्। एक पटक पहिचान भएपछि, मालवेयर टाढाबाट स्थापना गरिन्छ, जसले उपकरणलाई ट्राफिक रिले र आक्रमण नोडमा परिणत गर्दछ। कोर पेलोडले पोर्ट ४०८६० मा एक श्रोता खोल्छ र ८५.२३४.९१[.]२४७:१३३७ सँग आउटबाउन्ड सञ्चार स्थापना गर्दछ, जहाँबाट यसले सञ्चालन आदेशहरू प्राप्त गर्दछ।

हालै डिसेम्बर २०२५ मा, चीनमा आधारित IPIDEA बाट भाडामा लिइएका प्रोक्सी IP ठेगानाहरूमा संक्रमणहरू पत्ता लागेका थिए, जुन प्रदायकले आफूलाई विश्वको अग्रणी IP प्रोक्सी सेवाको रूपमा विज्ञापन गर्दछ जसमा दैनिक ६१ लाख भन्दा बढी रिफ्रेस गरिएका IP हरू र प्रत्येक दिन ६९,००० नयाँ ठेगानाहरू छन्। डिसेम्बर २७ मा, IPIDEA ले स्थानीय नेटवर्कहरू र संवेदनशील पोर्टहरूमा पहुँच अवरुद्ध गर्दै सुरक्षा अपडेट तैनाथ गर्‍यो जब आक्रमणकारीहरूले आन्तरिक उपकरणहरूमा पुग्न ग्राहक-स्थापित प्रोक्सी सफ्टवेयर मार्फत टनेलिङ गरिरहेका थिए भन्ने प्रमाणहरू देखा परे।

यस प्रविधिबाट सिर्जना भएको जोखिमलाई विश्लेषकहरूले अभूतपूर्व रूपमा वर्णन गरेका छन्, जसले लाखौं उपभोक्ता प्रणालीहरूलाई स्वचालित शोषणको बाटोमा प्रत्यक्ष रूपमा राखेको छ।

मुद्रीकरण: प्रोक्सीहरू, पेलोडहरू, र सशुल्क आक्रमणहरू

सुरुदेखि नै, किमवुल्फको वित्तीय उद्देश्य स्पष्ट थियो। सञ्चालकहरूले आफ्नो पूर्वाधारलाई आक्रामक रूपमा व्यावसायिकीकरण गरे, सम्झौता गरिएका उपकरणहरूलाई धेरै माध्यमहरू मार्फत नाफा कमाउने सम्पत्तिमा परिणत गरे:

• आवासीय प्रोक्सी पहुँचको बिक्री, प्रति जीबी $०.२० वा असीमित ब्यान्डविथको लागि प्रति महिना लगभग $१,४०० को रूपमा सस्तोमा विज्ञापन गरिएको, जसले धेरै प्रोक्सी सेवाहरूबाट प्रारम्भिक अपननलाई आकर्षित गर्‍यो।
• माध्यमिक मुद्रीकरण SDK हरूको तैनाती, विशेष गरी प्लेनप्रोक्सी बाइटकनेक्ट SDK, जसले ११९ समर्पित रिले सर्भरहरू मार्फत कमाण्ड सर्भरबाट संक्रमित उपकरणहरूमा भुक्तानी गरिएको प्रोक्सी कार्यहरू रुट गर्दछ।
• साइबर अपराध सञ्चालनका लागि बोटनेटको दुरुपयोग, जसमा ठूलो मात्रामा DDoS गतिविधि र IMAP सेवाहरू र लोकप्रिय अनलाइन प्लेटफर्महरू विरुद्ध अवलोकन गरिएको प्रमाण-भरण अभियानहरू समावेश छन्।

पूर्व-संक्रमित टिभी बक्सहरूको उपस्थिति र व्यावसायिक ब्यान्डविथ-साझेदारी SDK हरूको एकीकरणले बोटनेट अपरेटरहरू र प्रोक्सी अर्थतन्त्रका खण्डहरू बीचको गहिरो सहकार्यको दृढतापूर्वक सुझाव दिन्छ।

रक्षात्मक उपायहरू र जोखिम न्यूनीकरण

समान खतराहरूलाई कम गर्न, सेवा प्रदायक र अन्तिम-प्रयोगकर्ता वातावरण दुवैमा समन्वित कार्य आवश्यक छ:

• प्रोक्सी नेटवर्कहरूले RFC १९१८ ठेगाना दायराहरूको लागि निर्धारित ट्राफिकलाई रोक लगाउनु पर्छ, जसले गर्दा बाह्य ग्राहकहरूलाई उपभोक्ता उपकरणहरू बस्ने आन्तरिक निजी नेटवर्कहरूमा पुग्नबाट रोकिन्छ।
• संस्था र व्यक्तिहरूले एन्ड्रोइड प्रणालीहरूमा, विशेष गरी एम्बेडेड र IoT-शैलीका उपकरणहरूमा अप्रमाणित ADB पहुँचलाई असक्षम वा प्रतिबन्धित गर्नुपर्छ जुन प्रायः असुरक्षित पूर्वनिर्धारितहरूसँग पठाइन्छ।

यी नियन्त्रणहरू बिना, आवासीय प्रोक्सी इकोसिस्टमहरूले ठूलो मात्रामा मालवेयर तैनाती र बोटनेट विस्तारको लागि आदर्श आवरण प्रदान गर्न जारी राख्नेछ।