Botnet Kimwolf
Eksperci ds. cyberbezpieczeństwa odkryli potężny botnet typu DDoS (Distributed Denial of Service) znany jako Kimwolf, który zainfekował już ponad 1,8 miliona urządzeń. Wśród nich znajdują się telewizory z systemem Android, dekodery i tablety. Wstępne dochodzenia sugerują potencjalne powiązanie z niesławnym botnetem AISURU. Odkrycie to uwypukla rosnącą zaawansowanie złośliwego oprogramowania ukierunkowanego na IoT i podkreśla pilną potrzebę zachowania czujności w zakresie ochrony urządzeń podłączonych do sieci.
Spis treści
Anatomia Kimwolfa
Kimwolf został stworzony z wykorzystaniem Native Development Kit (NDK) i łączy w sobie wiele funkcji wykraczających poza tradycyjne ataki DDoS. Najważniejsze funkcje obejmują:
- Przekierowanie proxy
- Odwrotny dostęp do powłoki
- Funkcje zarządzania plikami
Złośliwe oprogramowanie botnetu zostało zaprojektowane tak, aby uruchamiać pojedynczy proces na urządzeniu, odszyfrowywać osadzone domeny Command-and-Control (C2), rozwiązywać adres IP C2 przy użyciu protokołu DNS-over-TLS oraz wykonywać polecenia otrzymywane od operatorów.
Rekordowa skala i aktywność
W ciągu zaledwie trzech dni, od 19 do 22 listopada 2025 roku, Kimwolf wydał podobno 1,7 miliarda poleceń ataku DDoS. Jedna z jego domen C2, 14emeliaterracewestroxburyma02132[.]su, na krótko pojawiła się nawet w zestawieniu 100 najpopularniejszych domen Cloudflare, tymczasowo wyprzedzając Google.
Pierwszorzędnymi celami infekcji są domowe dekodery TV, takie jak:
- TV BOX, SuperBOX, HiDPTMandroid
- P200, X96Q, XBOX, SmartTV, MX10
Pod względem geograficznym ogniska zakażeń znajdują się głównie w Brazylii, Indiach, USA, Argentynie, Republice Południowej Afryki i na Filipinach, choć dokładna metoda rozprzestrzeniania się choroby pozostaje niejasna.
Ewolucja i odporność
Kimwolf wykazuje zaawansowaną zdolność adaptacji. Jego domeny C2 zostały zablokowane co najmniej trzy razy w grudniu 2025 roku, co skłoniło operatorów do wdrożenia domen Ethereum Name Service (ENS) w celu wzmocnienia infrastruktury. Najnowsze wersje złośliwego oprogramowania wykorzystują EtherHiding, technikę, która pobiera rzeczywisty adres IP C2 za pośrednictwem inteligentnych kontraktów i przetwarza go za pomocą operacji XOR, co znacznie utrudnia blokowanie.
Połączenie z AISURU i wspólną infrastrukturą
Dowody łączą Kimwolfa z botnetem AISURU, znanym z rekordowych ataków DDoS:
- Oba botnety współistniały na tych samych zainfekowanych urządzeniach w okresie od września do listopada 2025 r.
- Podobieństwa pakietów APK i certyfikatów podpisywania kodu („John Dinglebert Dinglenut VIII VanSack Smith”) sugerują wspólne pochodzenie kodu.
- Serwer pobierania (93.95.112[.]59) potwierdził obecność skryptów odwołujących się do plików APK Kimwolf i AISURU.
Powiązanie to wskazuje na to, że obydwa botnety mogą być obsługiwane przez jedną grupę hakerów w celu zmaksymalizowania zasięgu i uniknięcia wykrycia.
Możliwości ataków i monetyzacja
Kimwolf obsługuje 13 różnych metod DDoS za pośrednictwem protokołów UDP, TCP i ICMP, atakując takie kraje jak Stany Zjednoczone, Chiny, Francję, Niemcy i Kanadę. Co ciekawe, ponad 96% wydawanych poleceń ma na celu wykorzystanie zainfekowanych węzłów jako usług proxy, co wskazuje na silny motyw zysku.
Dodatkowe komponenty wdrażane na zainfekowanych urządzeniach obejmują:
- Klient poleceń oparty na Rust – buduje sieć proxy
- ByteConnect SDK – monetyzuje ruch IoT dla deweloperów i właścicieli urządzeń
- Szyfrowanie TLS zabezpiecza całą komunikację, a poufne dane dotyczące serwerów C2 i resolverów DNS również są szyfrowane, co zwiększa poziom ukrycia operacyjnego.
Szerszy kontekst gigantycznych botnetów
Od pojawienia się Mirai w 2016 roku, gigantyczne botnety IoT znacząco ewoluowały. Wczesne wersje atakowały głównie routery szerokopasmowe i kamery, ale współczesne botnety, takie jak Badbox, Bigpanzi, Vo1d i Kimwolf, coraz częściej koncentrują się na telewizorach smart TV i dekoderach TV, odzwierciedlając zmieniające się zainteresowania atakujących urządzeniami konsumenckimi o dużej przepustowości.
