Oferta rabatowa na wiele licencji
Baza danych zagrożeń Botnety Kampania botnetu Kimwolf

Kampania botnetu Kimwolf

Do Mezo w Botnety
Przetłumacz na:

Badacze bezpieczeństwa odkryli ogromny botnet skoncentrowany na systemie Android, znany jako Kimwolf, który zainfekował ponad dwa miliony urządzeń, wykorzystując sieci proxy. Szkodliwe oprogramowanie przekształca codzienne urządzenia konsumenckie w globalną platformę ataku, dyskretnie przekierowując złośliwy ruch i umożliwiając przeprowadzanie ataków typu „odmowa usługi” (DDoS) na dużą skalę. Obserwacje wskazują na około 12 milionów unikalnych adresów IP tygodniowo, co podkreśla niezwykłą skalę tej operacji.

Początki, ewolucja i powiązania z AISURU

Kimwolf został po raz pierwszy publicznie przeanalizowany w grudniu 2025 roku , kiedy śledczy zidentyfikowali silne powiązania techniczne i infrastrukturalne z innym botnetem o nazwie AISURU. Dowody sugerują, że Kimwolf jest aktywny co najmniej od sierpnia 2025 roku i stanowi ewolucję AISURU opartą na systemie Android. Badacze coraz częściej uważają, że botnet ten był odpowiedzialny za kilka rekordowych kampanii DDoS obserwowanych pod koniec ubiegłego roku.

Globalny zasięg infekcji i urządzenia docelowe

Chociaż Kimwolf jest obecny na całym świecie, infekcje koncentrują się głównie w Wietnamie, Brazylii, Indiach i Arabii Saudyjskiej. Znaczna część zainfekowanych systemów to nieoficjalne telewizory Smart TV i dekodery z systemem Android, z których wiele ma niezabezpieczone domyślne konfiguracje.

Co najmniej 67% podłączonych urządzeń ujawnia nieuwierzytelnioną usługę Android Debug Bridge (ADB), co naraża je na zdalną kontrolę. Śledczy podejrzewają, że wiele z tych produktów jest wstępnie instalowanych z zestawami SDK (Software Development Kit) powiązanymi z serwerami proxy, zanim trafią do użytkowników, co skutecznie rejestruje je w ekosystemach serwerów proxy, które później stają się kanałami dystrybucji złośliwego oprogramowania.

Jak Kimwolf się rozprzestrzenia i utrzymuje kontrolę

Operatorzy Kimwolfa wykorzystują duże sieci proxy do skanowania internetu w poszukiwaniu urządzeń z systemem Android, na których działają ujawnione usługi ADB. Po zidentyfikowaniu złośliwe oprogramowanie jest instalowane zdalnie, przekształcając urządzenie w węzeł przekaźnikowy i atakujący. Główny ładunek otwiera nasłuchiwacz na porcie 40860 i nawiązuje komunikację wychodzącą z adresem 85.234.91[.]247:1337, z którego otrzymuje polecenia operacyjne.

Jeszcze w grudniu 2025 roku infekcje wykryto w adresach IP proxy wynajmowanych od chińskiej firmy IPIDEA, dostawcy reklamującego się jako wiodący na świecie dostawca usług proxy IP, z ponad 6,1 miliona odświeżanych adresów IP dziennie i 69 000 nowych adresów każdego dnia. 27 grudnia IPIDEA wdrożyła aktualizację zabezpieczeń blokującą dostęp do sieci lokalnych i wrażliwych portów po pojawieniu się dowodów na to, że atakujący tunelowali dostęp do urządzeń wewnętrznych, wykorzystując zainstalowane u klientów oprogramowanie proxy.

Analitycy opisali skalę zagrożenia, jakie niesie ze sobą ta technika, jako bezprecedensową, gdyż miliony systemów konsumenckich znalazły się bezpośrednio na drodze zautomatyzowanej eksploatacji.

Monetyzacja: serwery proxy, ładunki i ataki płatne

Od samego początku motywy finansowe Kimwolfa były jasne. Operatorzy agresywnie komercjalizowali swoją infrastrukturę, przekształcając zainfekowane urządzenia w aktywa generujące zysk za pośrednictwem wielu kanałów:

  • Sprzedaż dostępu do serwerów proxy dla użytkowników domowych, reklamowanego za tak niską cenę, jak 0,20 USD za GB lub około 1400 USD miesięcznie za nieograniczoną przepustowość, sprawiła, że usługa ta została szybko przyjęta przez wiele usług proxy.
  • Wdrożenie dodatkowych zestawów SDK do monetyzacji, w szczególności zestawu SDK Plainproxies Byteconnect, który kieruje płatne zadania proxy z serwera poleceń do zainfekowanych urządzeń za pośrednictwem 119 dedykowanych serwerów przekaźnikowych.
  • Nadużywanie botnetu do celów cyberprzestępczości, w tym przeprowadzanie na szeroką skalę ataków DDoS i obserwowane kampanie gromadzenia danych uwierzytelniających do usług IMAP i popularnych platform internetowych.

Obecność wstępnie zainfekowanych dekoderów TV oraz integracja komercyjnych zestawów SDK do współdzielenia pasma zdecydowanie wskazują na pogłębiającą się współpracę między operatorami botnetów a segmentami gospodarki proxy.

Środki obronne i redukcja ryzyka

Aby ograniczyć podobne zagrożenia, konieczne jest skoordynowane działanie zarówno dostawców usług, jak i środowisk użytkowników końcowych:

  • Sieci proxy powinny blokować ruch przeznaczony dla zakresów adresów RFC 1918, uniemożliwiając klientom zewnętrznym dotarcie do wewnętrznych sieci prywatnych, w których znajdują się urządzenia konsumenckie.
  • Organizacje i osoby prywatne muszą wyłączyć lub ograniczyć nieautoryzowany dostęp do ADB w systemach Android, w szczególności w urządzeniach wbudowanych i urządzeniach typu IoT, które często mają niebezpieczne ustawienia domyślne.

Bez tych mechanizmów kontroli ekosystemy serwerów proxy nadal będą stanowić idealną ochronę przed wdrażaniem złośliwego oprogramowania na dużą skalę i ekspansją botnetów.

Popularne

Najczęściej oglądane

Ładowanie...