KadNap-malware
Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe malwarevariant ontdekt, genaamd KadNap. Deze variant richt zich voornamelijk op Asus-routers en integreert ze in een botnet dat is ontworpen om kwaadaardig internetverkeer te proxyen. De malware werd voor het eerst in augustus 2025 in het wild waargenomen en heeft inmiddels al meer dan 14.000 apparaten wereldwijd geïnfecteerd. Analyse wijst uit dat meer dan 60% van de geïnfecteerde systemen zich in de Verenigde Staten bevindt, terwijl kleinere clusters van infecties zijn gedetecteerd in Taiwan, Hongkong, Rusland, het Verenigd Koninkrijk, Australië, Brazilië, Frankrijk, Italië en Spanje.
Hoewel Asus-routers de voornaamste doelwitten lijken te zijn, wijst onderzoek uit dat de beheerders van KadNap hun inspanningen hebben uitgebreid naar een breder scala aan netwerkapparaten aan de rand van het netwerk. Deze uitbreiding suggereert een bewuste poging om de omvang en de weerbaarheid van de botnetinfrastructuur te maximaliseren.
Inhoudsopgave
Peer-to-peer-verhulling via Kademlia-technologie
Een kenmerkend aspect van de KadNap-operatie is het gebruik van een aangepaste implementatie van het Kademlia Distributed Hash Table (DHT)-protocol. Dit protocol is geïntegreerd in een peer-to-peer-architectuur die de locatie van de botnetinfrastructuur verbergt door commandosystemen te verbergen in gedistribueerde knooppunten.
Gecompromitteerde apparaten communiceren via het DHT-netwerk om Command-and-Control (C2)-servers te vinden en er verbinding mee te maken. Door de communicatie te verspreiden over een gedecentraliseerde omgeving, vermijdt de malware de afhankelijkheid van één enkel infrastructuurpunt, wat traditionele detectie- en verwijderingsmethoden aanzienlijk bemoeilijkt. Deze aanpak zorgt ervoor dat kwaadaardig verkeer zich effectief mengt met legitieme peer-to-peer netwerkactiviteit, waardoor monitoring en verstoring voor verdedigers aanzienlijk lastiger worden.
Infectiemechanisme en persistentiestrategie
De infectieketen begint met een shellscript genaamd aic.sh, dat wordt gedownload van een commandoserver op het IP-adres 212.104.141.140. Dit script initieert het proces van integratie van het geïnfecteerde apparaat in het peer-to-peer-ecosysteem van het botnet.
Het script zorgt voor persistentie door een geplande cronjob aan te maken die hetzelfde script elk uur na 55 minuten ophaalt. Telkens wanneer het script wordt gedownload, wordt de naam gewijzigd in '.asusrouter' en het script uitgevoerd. Zodra de persistentie is gewaarborgd, downloadt het script een kwaadaardig ELF-bestand, hernoemt het naar 'kad' en voert het uit, waarmee de KadNap-malware effectief wordt geïnstalleerd. De malware is ontworpen om te werken op apparaten met zowel ARM- als MIPS-processors, waardoor een breed scala aan routerarchitecturen kan worden aangetast.
Tijdsgebonden peer discovery en netwerkcoördinatie
KadNap maakt gebruik van een mechanisme om activiteiten te synchroniseren binnen het gedecentraliseerde netwerk. De malware maakt verbinding met een Network Time Protocol (NTP)-server om de huidige systeemtijd op te halen en combineert deze met de uptime-informatie van het geïnfecteerde apparaat. Deze waarden worden gebruikt om een hash te genereren waarmee het geïnfecteerde apparaat peers binnen het gedistribueerde netwerk kan lokaliseren.
Dit proces stelt gecompromitteerde systemen in staat om andere knooppunten te ontdekken, instructies te verkrijgen en extra kwaadaardige bestanden te downloaden zonder afhankelijk te zijn van een gecentraliseerde commandostructuur. Ondersteunende scripts zoals fwr.sh en /tmp/.sose voeren ook aanvullende taken uit, waaronder het uitschakelen van poort 22, de standaard TCP-poort die wordt gebruikt door Secure Shell (SSH), en het extraheren van lijsten met C2-serveradres- en poortcombinaties die worden gebruikt voor verdere communicatie.
Commercialisering van het botnet via proxydiensten
Zodra routers zijn gehackt, worden ze geïntegreerd in een commercieel proxynetwerk dat onder de naam Doppelgänger wordt verkocht via de website doppelganger.shop. Beveiligingsonderzoekers schatten in dat deze dienst een hernoemde versie is van Faceless, een proxyplatform dat eerder in verband werd gebracht met de TheMoon-malware.
Volgens promotiemateriaal van de dienst biedt het netwerk residentiële proxytoegang in meer dan 50 landen en adverteert het met '100% anonimiteit' voor gebruikers. Er zijn aanwijzingen dat het platform rond mei of juni 2025 is gelanceerd. De infrastructuur segmenteert geïnfecteerde apparaten op type en model, aangezien niet elk gecompromitteerd apparaat met elke commandoserver communiceert. Deze segmentatie duidt op een gestructureerde en schaalbare strategie voor het beheer van botnets.
Het proxynetwerk is al waargenomen als doelwit van meerdere cybercriminelen. Het blijft echter lastig om de daders te identificeren, omdat routers in het netwerk soms tegelijkertijd geïnfecteerd zijn met andere malwarefamilies, waardoor het onduidelijk is welke partij verantwoordelijk is voor specifieke kwaadwillige activiteiten.
Beschermingsmaatregelen voor routerbezitters
De opkomst van KadNap benadrukt het groeiende risico van slecht beveiligde apparaten aan de rand van het netwerk, zowel thuis als in kleine kantoren. Netwerkbeheerders en individuele gebruikers kunnen de blootstelling aanzienlijk verminderen door een aantal beveiligingsmaatregelen te treffen:
- Zorg ervoor dat routers en netwerkapparaten altijd zijn voorzien van de nieuwste firmware en beveiligingsupdates.
- Start apparaten periodiek opnieuw op om tijdelijke schadelijke processen te verwijderen wanneer dat nodig is.
- Vervang de standaard inloggegevens door sterke, unieke wachtwoorden.
- Beperk en beveilig de beheerinterfaces.
- Vervang routers die het einde van hun levensduur hebben bereikt en geen beveiligingsupdates meer van de leverancier ontvangen.
Een gedecentraliseerd botnet ontworpen voor onzichtbaarheid.
KadNap onderscheidt zich van veel traditionele botnets die anonieme proxydiensten ondersteunen door het gebruik van een gedecentraliseerde peer-to-peer-architectuur. Door gebruik te maken van het Kademlia DHT-protocol verdeelt het botnet de controle over geïnfecteerde apparaten in plaats van te vertrouwen op gemakkelijk identificeerbare, gecentraliseerde servers.
Deze architectuur biedt operators veerkrachtige communicatiekanalen die aanzienlijk moeilijker te detecteren, blokkeren of ontmantelen zijn. Het strategische doel is duidelijk: operationele continuïteit waarborgen, beveiligingsmonitoring omzeilen en de verdedigingsinspanningen van cybersecurityteams bemoeilijken.
