Kimwolf ਬੋਟਨੈੱਟ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਕਿਮਵੌਲਫ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡਿਨਾਇਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਬੋਟਨੈੱਟ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸਨੇ ਪਹਿਲਾਂ ਹੀ 1.8 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੂਚੀਬੱਧ ਕੀਤਾ ਹੈ। ਇਨ੍ਹਾਂ ਵਿੱਚ ਐਂਡਰਾਇਡ-ਅਧਾਰਤ ਟੀਵੀ, ਸੈੱਟ-ਟਾਪ ਬਾਕਸ ਅਤੇ ਟੈਬਲੇਟ ਸ਼ਾਮਲ ਹਨ। ਸ਼ੁਰੂਆਤੀ ਜਾਂਚਾਂ ਬਦਨਾਮ AISURU ਬੋਟਨੈੱਟ ਨਾਲ ਸੰਭਾਵੀ ਕਨੈਕਸ਼ਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ। ਇਹ ਖੋਜ IoT-ਨਿਸ਼ਾਨਾ ਮਾਲਵੇਅਰ ਦੀ ਵਧਦੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਅਤੇ ਜੁੜੇ ਡਿਵਾਈਸਾਂ ਦੀ ਸੁਰੱਖਿਆ ਵਿੱਚ ਚੌਕਸੀ ਦੀ ਮਹੱਤਵਪੂਰਨ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਕਿਮਵੁਲਫ ਦੀ ਸਰੀਰ ਵਿਗਿਆਨ

ਕਿਮਵੌਲਫ ਨੂੰ ਨੇਟਿਵ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟ (NDK) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਇਹ ਰਵਾਇਤੀ DDoS ਹਮਲਿਆਂ ਤੋਂ ਇਲਾਵਾ ਕਈ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਪ੍ਰੌਕਸੀ ਫਾਰਵਰਡਿੰਗ
• ਸ਼ੈੱਲ ਪਹੁੰਚ ਨੂੰ ਉਲਟਾਓ
• ਫਾਈਲ ਪ੍ਰਬੰਧਨ ਫੰਕਸ਼ਨ

ਬੋਟਨੈੱਟ ਦਾ ਮਾਲਵੇਅਰ ਪ੍ਰਤੀ ਡਿਵਾਈਸ ਇੱਕ ਸਿੰਗਲ ਪ੍ਰਕਿਰਿਆ ਚਲਾਉਣ, ਏਮਬੈਡਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਡੋਮੇਨਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ, DNS-over-TLS ਦੀ ਵਰਤੋਂ ਕਰਕੇ C2 IP ਨੂੰ ਹੱਲ ਕਰਨ, ਅਤੇ ਇਸਦੇ ਆਪਰੇਟਰਾਂ ਤੋਂ ਪ੍ਰਾਪਤ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਰਿਕਾਰਡ ਤੋੜਨ ਦਾ ਪੈਮਾਨਾ ਅਤੇ ਗਤੀਵਿਧੀ

ਸਿਰਫ਼ ਤਿੰਨ ਦਿਨਾਂ ਵਿੱਚ, 19-22 ਨਵੰਬਰ, 2025 ਤੱਕ, ਕਿਮਵੌਲਫ ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ 1.7 ਬਿਲੀਅਨ DDoS ਹਮਲੇ ਦੇ ਹੁਕਮ ਜਾਰੀ ਕੀਤੇ। ਇਸਦੇ C2 ਡੋਮੇਨਾਂ ਵਿੱਚੋਂ ਇੱਕ, 14emeliaterracewestroxburyma02132[.]su, ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਕਲਾਉਡਫਲੇਅਰ ਦੇ ਚੋਟੀ ਦੇ 100 ਡੋਮੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਇਆ, ਜਿਸਨੇ ਗੂਗਲ ਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਪਛਾੜ ਦਿੱਤਾ।

ਮੁੱਖ ਲਾਗ ਦੇ ਟੀਚਿਆਂ ਵਿੱਚ ਰਿਹਾਇਸ਼ੀ ਟੀਵੀ ਬਾਕਸ ਸ਼ਾਮਲ ਹਨ ਜਿਵੇਂ ਕਿ:

• ਟੀਵੀ ਬਾਕਸ, ਸੁਪਰਬਾਕਸ, ਹਾਈਡੀਪੀਟੀਐਂਡਰਾਇਡ
• P200, X96Q, XBOX, SmartTV, MX10

ਭੂਗੋਲਿਕ ਤੌਰ 'ਤੇ, ਲਾਗ ਬ੍ਰਾਜ਼ੀਲ, ਭਾਰਤ, ਅਮਰੀਕਾ, ਅਰਜਨਟੀਨਾ, ਦੱਖਣੀ ਅਫਰੀਕਾ ਅਤੇ ਫਿਲੀਪੀਨਜ਼ ਵਿੱਚ ਕੇਂਦ੍ਰਿਤ ਹੈ, ਹਾਲਾਂਕਿ ਸਹੀ ਪ੍ਰਸਾਰ ਵਿਧੀ ਅਜੇ ਵੀ ਅਸਪਸ਼ਟ ਹੈ।

ਵਿਕਾਸ ਅਤੇ ਲਚਕੀਲਾਪਣ

ਕਿਮਵੌਲਫ ਉੱਨਤ ਅਨੁਕੂਲਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਦਸੰਬਰ 2025 ਵਿੱਚ ਇਸਦੇ C2 ਡੋਮੇਨਾਂ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਤਿੰਨ ਵਾਰ ਹਟਾਇਆ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਓਪਰੇਟਰਾਂ ਨੂੰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ ਈਥਰਿਅਮ ਨੇਮ ਸਰਵਿਸ (ENS) ਡੋਮੇਨ ਅਪਣਾਉਣ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਮਾਲਵੇਅਰ ਦੇ ਹਾਲੀਆ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਈਥਰਹਾਈਡਿੰਗ ਸ਼ਾਮਲ ਹੈ, ਇੱਕ ਤਕਨੀਕ ਜੋ ਸਮਾਰਟ ਕੰਟਰੈਕਟਸ ਰਾਹੀਂ ਅਸਲ C2 IP ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਇਸਨੂੰ XOR ਓਪਰੇਸ਼ਨਾਂ ਰਾਹੀਂ ਬਦਲਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਟੇਕਡਾਊਨ ਬਹੁਤ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ।

AISURU ਅਤੇ ਸਾਂਝੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਕਨੈਕਸ਼ਨ

ਸਬੂਤ ਕਿਮਵੌਲਫ ਨੂੰ AISURU ਬੋਟਨੈੱਟ ਨਾਲ ਜੋੜਦੇ ਹਨ, ਜੋ ਕਿ ਰਿਕਾਰਡ-ਤੋੜ DDoS ਹਮਲਿਆਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ:

• ਦੋਵੇਂ ਬੋਟਨੈੱਟ ਸਤੰਬਰ ਅਤੇ ਨਵੰਬਰ 2025 ਦੇ ਵਿਚਕਾਰ ਇੱਕੋ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ 'ਤੇ ਇਕੱਠੇ ਮੌਜੂਦ ਸਨ।
• ਏਪੀਕੇ ਪੈਕੇਜਾਂ ਅਤੇ ਕੋਡ ਸਾਈਨਿੰਗ ਸਰਟੀਫਿਕੇਟਾਂ ('ਜੌਨ ਡਿੰਗਲਬਰਟ ਡਿੰਗਲਨਟ VIII ਵੈਨਸੈਕ ਸਮਿਥ') ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਇੱਕ ਸਾਂਝੇ ਵਿਕਾਸ ਮੂਲ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ।
• ਇੱਕ ਡਾਊਨਲੋਡਰ ਸਰਵਰ (93.95.112[.]59) ਨੇ ਕਿਮਵੌਲਫ ਅਤੇ AISURU APK ਦੋਵਾਂ ਦਾ ਹਵਾਲਾ ਦੇਣ ਵਾਲੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ।

ਇਹ ਸਬੰਧ ਇੱਕ ਸਿੰਗਲ ਹੈਕਰ ਸਮੂਹ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ ਜੋ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਪਹੁੰਚ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਦੋਵੇਂ ਬੋਟਨੈੱਟਾਂ ਦਾ ਸੰਚਾਲਨ ਕਰ ਰਿਹਾ ਹੈ।

ਹਮਲੇ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਮੁਦਰੀਕਰਨ

ਕਿਮਵੌਲਫ UDP, TCP, ਅਤੇ ICMP ਉੱਤੇ 13 ਵੱਖ-ਵੱਖ DDoS ਤਰੀਕਿਆਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜੋ ਅਮਰੀਕਾ, ਚੀਨ, ਫਰਾਂਸ, ਜਰਮਨੀ ਅਤੇ ਕੈਨੇਡਾ ਸਮੇਤ ਦੇਸ਼ਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ ਜਾਰੀ ਕੀਤੇ ਗਏ 96% ਤੋਂ ਵੱਧ ਕਮਾਂਡਾਂ ਸੰਕਰਮਿਤ ਨੋਡਾਂ ਨੂੰ ਪ੍ਰੌਕਸੀ ਸੇਵਾਵਾਂ ਵਜੋਂ ਵਰਤਣ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਹਨ, ਜੋ ਕਿ ਇੱਕ ਮਜ਼ਬੂਤ ਮੁਨਾਫ਼ੇ ਦੇ ਉਦੇਸ਼ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।

ਖਰਾਬ ਹੋਏ ਡਿਵਾਈਸਾਂ 'ਤੇ ਤਾਇਨਾਤ ਵਾਧੂ ਹਿੱਸਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰਸਟ-ਅਧਾਰਤ ਕਮਾਂਡ ਕਲਾਇੰਟ - ਇੱਕ ਪ੍ਰੌਕਸੀ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ
• ਬਾਈਟਕਨੈਕਟ ਐਸਡੀਕੇ - ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਡਿਵਾਈਸ ਮਾਲਕਾਂ ਲਈ ਆਈਓਟੀ ਟ੍ਰੈਫਿਕ ਦਾ ਮੁਦਰੀਕਰਨ ਕਰਦਾ ਹੈ
• TLS ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਾਰੇ ਸੰਚਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਦੀ ਹੈ, ਜਦੋਂ ਕਿ C2 ਸਰਵਰਾਂ ਅਤੇ DNS ਰੈਜ਼ੋਲਵਰਾਂ ਬਾਰੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਵੀ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਕਾਰਜਸ਼ੀਲ ਸਟੀਲਥ ਵਧਦੀ ਹੈ।

ਜਾਇੰਟ ਬੋਟਨੈੱਟਸ ਦਾ ਵਿਆਪਕ ਸੰਦਰਭ

2016 ਵਿੱਚ Mirai ਦੇ ਉਭਾਰ ਤੋਂ ਬਾਅਦ, ਵਿਸ਼ਾਲ IoT ਬੋਟਨੈੱਟਸ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਿਕਸਤ ਹੋਏ ਹਨ। ਸ਼ੁਰੂਆਤੀ ਸੰਸਕਰਣ ਮੁੱਖ ਤੌਰ 'ਤੇ ਬ੍ਰੌਡਬੈਂਡ ਰਾਊਟਰਾਂ ਅਤੇ ਕੈਮਰਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਸਨ, ਪਰ ਆਧੁਨਿਕ ਬੋਟਨੈੱਟ ਜਿਵੇਂ ਕਿ Badbox, Bigpanzi, Vo1d, ਅਤੇ Kimwolf ਸਮਾਰਟ ਟੀਵੀ ਅਤੇ ਟੀਵੀ ਬਾਕਸਾਂ 'ਤੇ ਵੱਧ ਤੋਂ ਵੱਧ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰ ਰਹੇ ਹਨ, ਜੋ ਹਮਲਾਵਰਾਂ ਦੇ ਉੱਚ-ਬੈਂਡਵਿਡਥ ਉਪਭੋਗਤਾ ਡਿਵਾਈਸਾਂ ਵੱਲ ਰੁਚੀ ਬਦਲਣ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।