Kimwolf ਬੋਟਨੈੱਟ ਮੁਹਿੰਮ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕਿਮਵੌਲਫ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਐਂਡਰਾਇਡ-ਕੇਂਦ੍ਰਿਤ ਬੋਟਨੈੱਟ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸਨੇ ਰਿਹਾਇਸ਼ੀ ਪ੍ਰੌਕਸੀ ਨੈੱਟਵਰਕਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ 20 ਲੱਖ ਤੋਂ ਵੱਧ ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਰੋਜ਼ਾਨਾ ਉਪਭੋਗਤਾ ਹਾਰਡਵੇਅਰ ਨੂੰ ਇੱਕ ਗਲੋਬਲ ਅਟੈਕ ਪਲੇਟਫਾਰਮ ਵਿੱਚ ਬਦਲ ਦਿੰਦਾ ਹੈ, ਚੁੱਪਚਾਪ ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੂਟ ਕਰਦਾ ਹੈ ਅਤੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਵੰਡੇ ਗਏ ਇਨਕਾਰ-ਆਫ-ਸਰਵਿਸ (DDoS) ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਨਿਰੀਖਣ ਹਰ ਹਫ਼ਤੇ ਲਗਭਗ 12 ਮਿਲੀਅਨ ਵਿਲੱਖਣ IP ਪਤੇ ਦਿਖਾਉਂਦੇ ਹਨ, ਜੋ ਇਸ ਓਪਰੇਸ਼ਨ ਦੇ ਅਸਾਧਾਰਨ ਦਾਇਰੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹਨ।

ਉਤਪਤੀ, ਵਿਕਾਸ, ਅਤੇ AISURU ਨਾਲ ਸਬੰਧ

ਕਿਮਵੌਲਫ ਦਾ ਪਹਿਲੀ ਵਾਰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਦਸੰਬਰ 2025 ਵਿੱਚ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਦੋਂ ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ AISURU ਨਾਮਕ ਇੱਕ ਹੋਰ ਬੋਟਨੈੱਟ ਨਾਲ ਮਜ਼ਬੂਤ ਤਕਨੀਕੀ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਸਬੰਧਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਸੀ। ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਕਿਮਵੌਲਫ ਘੱਟੋ-ਘੱਟ ਅਗਸਤ 2025 ਤੋਂ ਸਰਗਰਮ ਹੈ ਅਤੇ AISURU ਦੇ ਇੱਕ ਐਂਡਰਾਇਡ-ਅਧਾਰਿਤ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਇਸ ਬੋਟਨੈੱਟ ਨੇ ਪਿਛਲੇ ਸਾਲ ਦੇ ਅੰਤ ਵਿੱਚ ਦੇਖੇ ਗਏ ਕਈ ਰਿਕਾਰਡ-ਤੋੜਨ ਵਾਲੇ DDoS ਮੁਹਿੰਮਾਂ ਨੂੰ ਚਲਾਇਆ।

ਗਲੋਬਲ ਇਨਫੈਕਸ਼ਨ ਫੁੱਟਪ੍ਰਿੰਟ ਅਤੇ ਟਾਰਗੇਟਡ ਡਿਵਾਈਸਿਸ

ਹਾਲਾਂਕਿ ਕਿਮਵੌਲਫ ਦੀ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਮੌਜੂਦਗੀ ਹੈ, ਪਰ ਲਾਗ ਵੀਅਤਨਾਮ, ਬ੍ਰਾਜ਼ੀਲ, ਭਾਰਤ ਅਤੇ ਸਾਊਦੀ ਅਰਬ ਵਿੱਚ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕੇਂਦ੍ਰਿਤ ਹੈ। ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਸਿਸਟਮਾਂ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸਾ ਅਣਅਧਿਕਾਰਤ ਐਂਡਰਾਇਡ ਸਮਾਰਟ ਟੀਵੀ ਅਤੇ ਸੈੱਟ-ਟਾਪ ਬਾਕਸ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਬਹੁਤ ਸਾਰੇ ਅਸੁਰੱਖਿਅਤ ਡਿਫੌਲਟ ਕੌਂਫਿਗਰੇਸ਼ਨਾਂ ਨਾਲ ਭੇਜੇ ਜਾਂਦੇ ਹਨ।

ਘੱਟੋ-ਘੱਟ 67% ਜੁੜੇ ਡਿਵਾਈਸ ਇੱਕ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਐਂਡਰਾਇਡ ਡੀਬੱਗ ਬ੍ਰਿਜ (ADB) ਸੇਵਾ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਖੁੱਲ੍ਹਾ ਛੱਡ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਜਾਂਚਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ ਇਹਨਾਂ ਵਿੱਚੋਂ ਬਹੁਤ ਸਾਰੇ ਉਤਪਾਦ ਖਪਤਕਾਰਾਂ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਪਹਿਲਾਂ ਪ੍ਰੌਕਸੀ-ਸਬੰਧਤ ਸਾਫਟਵੇਅਰ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟਾਂ (SDKs) ਨਾਲ ਪਹਿਲਾਂ ਤੋਂ ਲੋਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜੋ ਉਹਨਾਂ ਨੂੰ ਪ੍ਰੌਕਸੀ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਦਾਖਲ ਕਰਦੇ ਹਨ ਜੋ ਬਾਅਦ ਵਿੱਚ ਮਾਲਵੇਅਰ ਲਈ ਡਿਲੀਵਰੀ ਚੈਨਲ ਬਣ ਜਾਂਦੇ ਹਨ।

ਕਿਮਵੁਲਫ ਕਿਵੇਂ ਫੈਲਦਾ ਹੈ ਅਤੇ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਦਾ ਹੈ

ਕਿਮਵੌਲਫ ਦੇ ਆਪਰੇਟਰ ਵੱਡੇ ਰਿਹਾਇਸ਼ੀ ਪ੍ਰੌਕਸੀ ਨੈੱਟਵਰਕਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ ਤਾਂ ਜੋ ਐਕਸਪੋਜ਼ਡ ADB ਸੇਵਾਵਾਂ ਚਲਾਉਣ ਵਾਲੇ ਐਂਡਰਾਇਡ ਡਿਵਾਈਸਾਂ ਲਈ ਇੰਟਰਨੈਟ ਸਕੈਨ ਕੀਤਾ ਜਾ ਸਕੇ। ਇੱਕ ਵਾਰ ਪਛਾਣੇ ਜਾਣ 'ਤੇ, ਮਾਲਵੇਅਰ ਰਿਮੋਟਲੀ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਡਿਵਾਈਸ ਨੂੰ ਟ੍ਰੈਫਿਕ ਰੀਲੇਅ ਅਤੇ ਅਟੈਕ ਨੋਡ ਵਿੱਚ ਬਦਲ ਦਿੰਦਾ ਹੈ। ਕੋਰ ਪੇਲੋਡ ਪੋਰਟ 40860 'ਤੇ ਇੱਕ ਲਿਸਨਰ ਖੋਲ੍ਹਦਾ ਹੈ ਅਤੇ 85.234.91[.]247:1337 ਨਾਲ ਆਊਟਬਾਉਂਡ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਜਿੱਥੋਂ ਇਹ ਕਾਰਜਸ਼ੀਲ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਹਾਲ ਹੀ ਵਿੱਚ ਦਸੰਬਰ 2025 ਵਿੱਚ, ਚੀਨ-ਅਧਾਰਤ IPIDEA ਤੋਂ ਕਿਰਾਏ 'ਤੇ ਲਏ ਗਏ ਪ੍ਰੌਕਸੀ IP ਪਤਿਆਂ ਤੋਂ ਲਾਗਾਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ, ਇੱਕ ਪ੍ਰਦਾਤਾ ਜੋ ਆਪਣੇ ਆਪ ਨੂੰ ਦੁਨੀਆ ਦੀ ਮੋਹਰੀ IP ਪ੍ਰੌਕਸੀ ਸੇਵਾ ਵਜੋਂ ਇਸ਼ਤਿਹਾਰ ਦਿੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ 6.1 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਰੋਜ਼ਾਨਾ ਰਿਫਰੈਸ਼ ਕੀਤੇ IP ਅਤੇ ਹਰ ਰੋਜ਼ 69,000 ਨਵੇਂ ਪਤੇ ਹੁੰਦੇ ਹਨ। 27 ਦਸੰਬਰ ਨੂੰ, IPIDEA ਨੇ ਇੱਕ ਸੁਰੱਖਿਆ ਅਪਡੇਟ ਤਾਇਨਾਤ ਕੀਤਾ ਜੋ ਸਥਾਨਕ ਨੈੱਟਵਰਕਾਂ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਪੋਰਟਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਰੋਕਦਾ ਹੈ ਜਦੋਂ ਸਬੂਤ ਸਾਹਮਣੇ ਆਏ ਕਿ ਹਮਲਾਵਰ ਅੰਦਰੂਨੀ ਡਿਵਾਈਸਾਂ ਤੱਕ ਪਹੁੰਚਣ ਲਈ ਗਾਹਕ ਦੁਆਰਾ ਸਥਾਪਿਤ ਪ੍ਰੌਕਸੀ ਸੌਫਟਵੇਅਰ ਰਾਹੀਂ ਸੁਰੰਗ ਬਣਾ ਰਹੇ ਸਨ।

ਇਸ ਤਕਨੀਕ ਦੁਆਰਾ ਪੈਦਾ ਕੀਤੇ ਗਏ ਐਕਸਪੋਜ਼ਰ ਨੂੰ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦੁਆਰਾ ਬੇਮਿਸਾਲ ਦੱਸਿਆ ਗਿਆ ਸੀ, ਜਿਸ ਨੇ ਲੱਖਾਂ ਖਪਤਕਾਰ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਸਿੱਧੇ ਸਵੈਚਾਲਿਤ ਸ਼ੋਸ਼ਣ ਦੇ ਰਾਹ ਵਿੱਚ ਪਾ ਦਿੱਤਾ ਸੀ।

ਮੁਦਰੀਕਰਨ: ਪ੍ਰੌਕਸੀ, ਪੇਲੋਡ, ਅਤੇ ਭੁਗਤਾਨ ਕੀਤੇ ਹਮਲੇ

ਸ਼ੁਰੂ ਤੋਂ ਹੀ, ਕਿਮਵੌਲਫ ਦੇ ਵਿੱਤੀ ਉਦੇਸ਼ ਸਪੱਸ਼ਟ ਸਨ। ਆਪਰੇਟਰਾਂ ਨੇ ਆਪਣੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਹਮਲਾਵਰ ਢੰਗ ਨਾਲ ਵਪਾਰੀਕਰਨ ਕੀਤਾ, ਕਈ ਚੈਨਲਾਂ ਰਾਹੀਂ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਯੰਤਰਾਂ ਨੂੰ ਮੁਨਾਫ਼ਾ ਪੈਦਾ ਕਰਨ ਵਾਲੀਆਂ ਸੰਪਤੀਆਂ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ:

• ਰਿਹਾਇਸ਼ੀ ਪ੍ਰੌਕਸੀ ਪਹੁੰਚ ਦੀ ਵਿਕਰੀ, ਜਿਸ ਦਾ ਇਸ਼ਤਿਹਾਰ $0.20 ਪ੍ਰਤੀ GB ਜਾਂ ਲਗਭਗ $1,400 ਪ੍ਰਤੀ ਮਹੀਨਾ ਅਸੀਮਤ ਬੈਂਡਵਿਡਥ ਲਈ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਜਿਸਨੇ ਕਈ ਪ੍ਰੌਕਸੀ ਸੇਵਾਵਾਂ ਤੋਂ ਜਲਦੀ ਅਪਣਾਉਣ ਨੂੰ ਆਕਰਸ਼ਿਤ ਕੀਤਾ।
• ਸੈਕੰਡਰੀ ਮੁਦਰੀਕਰਨ SDKs ਦੀ ਤੈਨਾਤੀ, ਖਾਸ ਤੌਰ 'ਤੇ ਪਲੇਨਪ੍ਰੌਕਸੀਜ਼ ਬਾਈਟਕਨੈਕਟ SDK, ਜੋ ਕਿ 119 ਸਮਰਪਿਤ ਰੀਲੇਅ ਸਰਵਰਾਂ ਰਾਹੀਂ ਇੱਕ ਕਮਾਂਡ ਸਰਵਰ ਤੋਂ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਤੱਕ ਭੁਗਤਾਨ ਕੀਤੇ ਪ੍ਰੌਕਸੀ ਕਾਰਜਾਂ ਨੂੰ ਰੂਟ ਕਰਦਾ ਹੈ।
• ਸਾਈਬਰ ਅਪਰਾਧ ਕਾਰਜਾਂ ਲਈ ਬੋਟਨੈੱਟ ਦੀ ਦੁਰਵਰਤੋਂ, ਜਿਸ ਵਿੱਚ ਵੱਡੇ ਪੱਧਰ 'ਤੇ DDoS ਗਤੀਵਿਧੀ ਅਤੇ IMAP ਸੇਵਾਵਾਂ ਅਤੇ ਪ੍ਰਸਿੱਧ ਔਨਲਾਈਨ ਪਲੇਟਫਾਰਮਾਂ ਦੇ ਵਿਰੁੱਧ ਪ੍ਰਮਾਣ ਪੱਤਰ-ਸਟਫਿੰਗ ਮੁਹਿੰਮਾਂ ਸ਼ਾਮਲ ਹਨ।

ਪਹਿਲਾਂ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਟੀਵੀ ਬਾਕਸਾਂ ਦੀ ਮੌਜੂਦਗੀ ਅਤੇ ਵਪਾਰਕ ਬੈਂਡਵਿਡਥ-ਸ਼ੇਅਰਿੰਗ SDKs ਦਾ ਏਕੀਕਰਨ ਬੋਟਨੈੱਟ ਆਪਰੇਟਰਾਂ ਅਤੇ ਪ੍ਰੌਕਸੀ ਅਰਥਵਿਵਸਥਾ ਦੇ ਹਿੱਸਿਆਂ ਵਿਚਕਾਰ ਡੂੰਘੇ ਸਹਿਯੋਗ ਦਾ ਜ਼ੋਰਦਾਰ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ।

ਰੱਖਿਆਤਮਕ ਉਪਾਅ ਅਤੇ ਜੋਖਮ ਘਟਾਉਣਾ

ਇਸੇ ਤਰ੍ਹਾਂ ਦੇ ਖਤਰਿਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ, ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ ਅਤੇ ਅੰਤਮ-ਉਪਭੋਗਤਾ ਵਾਤਾਵਰਣ ਦੋਵਾਂ ਵਿੱਚ ਤਾਲਮੇਲ ਵਾਲੀ ਕਾਰਵਾਈ ਦੀ ਲੋੜ ਹੈ:

• ਪ੍ਰੌਕਸੀ ਨੈੱਟਵਰਕਾਂ ਨੂੰ RFC 1918 ਐਡਰੈੱਸ ਰੇਂਜਾਂ ਲਈ ਨਿਰਧਾਰਤ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕਣਾ ਚਾਹੀਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਬਾਹਰੀ ਗਾਹਕਾਂ ਨੂੰ ਅੰਦਰੂਨੀ ਨਿੱਜੀ ਨੈੱਟਵਰਕਾਂ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਰੋਕਿਆ ਜਾ ਸਕੇ ਜਿੱਥੇ ਖਪਤਕਾਰ ਡਿਵਾਈਸਾਂ ਰਹਿੰਦੀਆਂ ਹਨ।
• ਸੰਸਥਾਵਾਂ ਅਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਐਂਡਰਾਇਡ ਸਿਸਟਮਾਂ 'ਤੇ ਗੈਰ-ਪ੍ਰਮਾਣਿਤ ADB ਪਹੁੰਚ ਨੂੰ ਅਯੋਗ ਜਾਂ ਸੀਮਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਏਮਬੈਡਡ ਅਤੇ IoT-ਸ਼ੈਲੀ ਵਾਲੇ ਡਿਵਾਈਸਾਂ ਜੋ ਅਕਸਰ ਅਸੁਰੱਖਿਅਤ ਡਿਫਾਲਟਾਂ ਨਾਲ ਭੇਜੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਇਹਨਾਂ ਨਿਯੰਤਰਣਾਂ ਤੋਂ ਬਿਨਾਂ, ਰਿਹਾਇਸ਼ੀ ਪ੍ਰੌਕਸੀ ਈਕੋਸਿਸਟਮ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ ਅਤੇ ਬੋਟਨੈੱਟ ਵਿਸਥਾਰ ਲਈ ਆਦਰਸ਼ ਕਵਰ ਪ੍ਰਦਾਨ ਕਰਦੇ ਰਹਿਣਗੇ।