Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Botnets Kimwolf-botnet

Kimwolf-botnet

Tegen Mezo in Botnets
Vertalen naar:

Cybersecurity-experts hebben een enorm DDoS-botnet (Distributed Denial-of-Service) ontdekt, genaamd Kimwolf, dat al meer dan 1,8 miljoen apparaten heeft geïnfecteerd. Het gaat onder andere om Android-tv's, settopboxen en tablets. Uit eerste onderzoeken blijkt een mogelijke link met het beruchte AISURU-botnet. De ontdekking benadrukt de toenemende complexiteit van malware gericht op IoT-apparaten en onderstreept de cruciale noodzaak tot waakzaamheid bij de bescherming van verbonden apparaten.

Anatomie van Kimwolf

Kimwolf is ontwikkeld met behulp van de Native Development Kit (NDK) en combineert meerdere mogelijkheden die verder gaan dan traditionele DDoS-aanvallen. Belangrijkste kenmerken zijn:

  • Proxy-doorsturing
  • Reverse shell-toegang
  • Bestandsbeheerfuncties

De malware van het botnet is ontworpen om één proces per apparaat uit te voeren, ingebedde Command-and-Control (C2)-domeinen te decoderen, het C2-IP-adres op te lossen met behulp van DNS-over-TLS en commando's uit te voeren die van de beheerders worden ontvangen.

Recordbrekende omvang en activiteit

In slechts drie dagen, van 19 tot en met 22 november 2025, verstuurde Kimwolf naar verluidt 1,7 miljard DDoS-aanvallen. Een van zijn C2-domeinen, 14emeliaterracewestroxburyma02132[.]su, verscheen zelfs kortstondig in de top 100 van Cloudflare, waarmee het Google tijdelijk overtrof.

De belangrijkste infectiebronnen zijn onder andere tv-boxen voor thuisgebruik, zoals:

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Geografisch gezien komen de infecties vooral voor in Brazilië, India, de VS, Argentinië, Zuid-Afrika en de Filipijnen, hoewel de precieze wijze van verspreiding nog onduidelijk is.

Evolutie en veerkracht

Kimwolf toont een geavanceerd aanpassingsvermogen. De C2-domeinen zijn in december 2025 minstens drie keer platgelegd, wat de beheerders ertoe aanzette om Ethereum Name Service (ENS)-domeinen te gebruiken om de infrastructuur te versterken. Recente versies van de malware bevatten EtherHiding, een techniek die het werkelijke C2-IP-adres via smart contracts ophaalt en dit via XOR-bewerkingen transformeert, waardoor het veel moeilijker wordt om de systemen plat te leggen.

Verbinding met AISURU en gedeelde infrastructuur

Er zijn aanwijzingen dat Kimwolf verbonden is met het AISURU-botnet, dat bekendstaat om zijn recordbrekende DDoS-aanvallen.

  • Tussen september en november 2025 bestonden beide botnets naast elkaar op dezelfde geïnfecteerde apparaten.
  • Overeenkomsten in APK-pakketten en codeondertekeningscertificaten ('John Dinglebert Dinglenut VIII VanSack Smith') suggereren een gedeelde oorsprong in de ontwikkeling.
  • Een downloadserver (93.95.112[.]59) bevestigde de aanwezigheid van scripts die verwijzen naar zowel Kimwolf- als AISURU-APK's.

Deze relatie suggereert dat één hackersgroep mogelijk beide botnets beheert om een zo groot mogelijk bereik te hebben en detectie te ontwijken.

Aanvalsmogelijkheden en monetisatie

Kimwolf ondersteunt 13 verschillende DDoS-methoden via UDP, TCP en ICMP, gericht op landen zoals de VS, China, Frankrijk, Duitsland en Canada. Opvallend is dat meer dan 96% van de uitgevoerde commando's gericht is op het gebruik van geïnfecteerde nodes als proxydiensten, wat wijst op een sterk winstmotief.

Aanvullende componenten die op gecompromitteerde apparaten worden geïnstalleerd, zijn onder meer:

  • Op Rust gebaseerde commandoclient – bouwt een proxynetwerk
  • ByteConnect SDK – genereert inkomsten uit IoT-verkeer voor ontwikkelaars en apparaateigenaren
  • TLS-encryptie beveiligt alle communicatie, terwijl gevoelige gegevens over C2-servers en DNS-resolvers ook worden versleuteld, waardoor de operationele geheimhouding wordt vergroot.

De bredere context van gigantische botnets

Sinds de opkomst van Mirai in 2016 zijn gigantische IoT-botnets aanzienlijk geëvolueerd. Vroege versies richtten zich voornamelijk op breedbandrouters en camera's, maar moderne botnets zoals Badbox, Bigpanzi, Vo1d en Kimwolf richten zich steeds meer op smart-tv's en tv-boxen, wat de verschuivende interesse van aanvallers naar consumentenapparaten met een hoge bandbreedte weerspiegelt.

Trending

Meest bekeken

Bezig met laden...