Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Botnets Kimwolf Botnet-campagne

Kimwolf Botnet-campagne

Tegen Mezo in Botnets
Vertalen naar:

Beveiligingsonderzoekers hebben een enorm botnet ontdekt, Kimwolf genaamd, dat zich richt op Android-apparaten. Het botnet heeft meer dan twee miljoen apparaten geïnfecteerd door gebruik te maken van proxy-netwerken in woonomgevingen. De malware transformeert alledaagse consumentenhardware in een wereldwijd aanvalsplatform, dat ongemerkt kwaadaardig verkeer doorstuurt en grootschalige DDoS-aanvallen (Distributed Denial-of-Service) mogelijk maakt. Waarnemingen tonen aan dat er wekelijks ongeveer 12 miljoen unieke IP-adressen worden gebruikt, wat de buitengewone omvang van deze operatie benadrukt.

Oorsprong, evolutie en verbanden met AISURU

Kimwolf werd voor het eerst publiekelijk geanalyseerd in december 2025 , toen onderzoekers sterke technische en infrastructurele banden ontdekten met een ander botnet genaamd AISURU. Bewijs suggereert dat Kimwolf al minstens sinds augustus 2025 actief is en een op Android gebaseerde evolutie van AISURU vertegenwoordigt. Onderzoekers zijn er steeds meer van overtuigd dat dit botnet verantwoordelijk was voor verschillende recordbrekende DDoS-aanvallen die tegen het einde van vorig jaar werden waargenomen.

Wereldwijde infectiehaard en doelgerichte apparaten

Hoewel Kimwolf wereldwijd actief is, komen infecties vooral voor in Vietnam, Brazilië, India en Saoedi-Arabië. Een aanzienlijk deel van de geïnfecteerde systemen bestaat uit onofficiële Android smart-tv's en settopboxen, waarvan vele standaard met onveilige configuraties worden geleverd.

Ten minste 67% van de verbonden apparaten biedt een niet-geauthenticeerde Android Debug Bridge (ADB)-service aan, waardoor ze kwetsbaar zijn voor afstandsbediening. Onderzoekers vermoeden dat veel van deze producten, voordat ze de consument bereiken, al zijn voorzien van software development kits (SDK's) die gerelateerd zijn aan proxy's. Hierdoor worden ze in feite opgenomen in proxy-ecosystemen die later fungeren als kanalen voor de verspreiding van malware.

Hoe Kimwolf zijn invloed verspreidt en behoudt

De beheerders van Kimwolf maken gebruik van grote residentiële proxy-netwerken om het internet af te speuren naar Android-apparaten die blootgestelde ADB-services draaien. Zodra deze apparaten zijn geïdentificeerd, wordt de malware op afstand geïnstalleerd, waardoor het apparaat een doorgeefluik voor verkeer en een aanvalsknooppunt wordt. De kern van de malware opent een listener op poort 40860 en legt een uitgaande verbinding met 85.234.91[.]247:1337, van waaruit operationele commando's worden ontvangen.

Nog in december 2025 werden infecties herleid tot proxy-IP-adressen die gehuurd werden van het Chinese IPIDEA, een aanbieder die zichzelf profileert als 's werelds toonaangevende IP-proxyservice met meer dan 6,1 miljoen dagelijks vernieuwde IP-adressen en 69.000 nieuwe adressen per dag. Op 27 december voerde IPIDEA een beveiligingsupdate uit die de toegang tot lokale netwerken en gevoelige poorten blokkeerde, nadat er bewijs was opgedoken dat aanvallers via door klanten geïnstalleerde proxysoftware tunnels gebruikten om interne apparaten te bereiken.

De kwetsbaarheid die door deze techniek ontstond, werd door analisten omschreven als ongekend, waardoor miljoenen consumentensystemen rechtstreeks het doelwit werden van geautomatiseerde aanvallen.

Monetarisering: Proxy’s, payloads en betaalde aanvallen

Vanaf het begin waren de financiële motieven van Kimwolf duidelijk. De beheerders commercialiseerden hun infrastructuur op agressieve wijze en maakten via meerdere kanalen van gecompromitteerde apparaten winstgevende activa:

  • De verkoop van proxytoegang voor thuisgebruik, die werd aangeboden voor slechts $0,20 per GB of ongeveer $1400 per maand voor onbeperkte bandbreedte, trok al snel veel proxydiensten aan.
  • De inzet van secundaire SDK's voor het genereren van inkomsten, met name de Plainproxies Byteconnect SDK, die betaalde proxytaken van een commandoserver naar geïnfecteerde apparaten doorstuurt via 119 speciale relayservers.
  • Misbruik van het botnet voor cybercriminaliteit, waaronder grootschalige DDoS-aanvallen en waargenomen campagnes waarbij inloggegevens worden misbruikt tegen IMAP-diensten en populaire online platforms.

De aanwezigheid van vooraf geïnfecteerde tv-boxen en de integratie van commerciële SDK's voor het delen van bandbreedte wijzen sterk op een toenemende samenwerking tussen botnetbeheerders en segmenten van de proxy-economie.

Defensieve maatregelen en risicovermindering

Om soortgelijke bedreigingen te beperken, is gecoördineerde actie vereist van zowel serviceproviders als eindgebruikers:

  • Proxy-netwerken moeten verkeer blokkeren dat bestemd is voor RFC 1918-adresbereiken, waardoor externe klanten geen toegang krijgen tot interne privénetwerken waar consumentenapparaten zich bevinden.
  • Organisaties en individuen moeten ongeautoriseerde ADB-toegang op Android-systemen uitschakelen of beperken, met name op embedded systemen en IoT-apparaten die vaak standaard met onveilige instellingen worden geleverd.

Zonder deze controles blijven proxy-ecosystemen voor thuisgebruik een ideale dekmantel voor grootschalige malware-distributie en de uitbreiding van botnets.

Trending

Meest bekeken

Bezig met laden...