Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet Kimwolf

Botnet Kimwolf

Por Mezo em Redes de Bots
Traduzir Para:

Especialistas em cibersegurança descobriram uma enorme botnet de ataque de negação de serviço distribuído (DDoS) conhecida como Kimwolf, que já infectou mais de 1,8 milhão de dispositivos. Entre eles, TVs com sistema Android, decodificadores e tablets. Investigações preliminares sugerem uma possível conexão com a notória botnet AISURU. A descoberta destaca a crescente sofisticação de malwares direcionados à Internet das Coisas (IoT) e ressalta a necessidade crítica de vigilância na proteção de dispositivos conectados.

Anatomia de Kimwolf

O Kimwolf foi desenvolvido usando o Native Development Kit (NDK) e combina diversas funcionalidades que vão além dos ataques DDoS tradicionais. Os principais recursos incluem:

  • Encaminhamento de proxy
  • Acesso ao shell reverso
  • funções de gerenciamento de arquivos

O malware da botnet foi projetado para executar um único processo por dispositivo, descriptografar domínios de Comando e Controle (C2) incorporados, resolver o IP do C2 usando DNS sobre TLS e executar comandos recebidos de seus operadores.

Escala e atividade recordes

Em apenas três dias, de 19 a 22 de novembro de 2025, a Kimwolf teria emitido 1,7 bilhão de comandos de ataque DDoS. Um de seus domínios de comando e controle (C2), 14emeliaterracewestroxburyma02132[.]su, chegou a figurar brevemente entre os 100 principais domínios da Cloudflare, ultrapassando o Google temporariamente.

Os principais alvos de infecção incluem decodificadores de TV residenciais, tais como:

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, Smart TV, MX10

Geograficamente, as infecções estão concentradas no Brasil, Índia, Estados Unidos, Argentina, África do Sul e Filipinas, embora o método exato de propagação permaneça incerto.

Evolução e Resiliência

O Kimwolf demonstra uma adaptabilidade avançada. Seus domínios de comando e controle (C2) foram derrubados pelo menos três vezes em dezembro de 2025, o que levou os operadores a adotarem domínios do Ethereum Name Service (ENS) para fortalecer a infraestrutura. Versões recentes do malware incorporam o EtherHiding, uma técnica que obtém o endereço IP real do C2 por meio de contratos inteligentes e o transforma através de operações XOR, dificultando consideravelmente a sua derrubada.

Conexão com AISURU e infraestrutura compartilhada

Evidências ligam Kimwolf à botnet AISURU, conhecida por ataques DDoS que quebram recordes:

  • As duas botnets coexistiram nos mesmos dispositivos infectados entre setembro e novembro de 2025.
  • Semelhanças nos pacotes APK e nos certificados de assinatura de código ('John Dinglebert Dinglenut VIII VanSack Smith') sugerem uma origem de desenvolvimento comum.
  • Um servidor de download (93.95.112[.]59) confirmou a presença de scripts que fazem referência aos APKs Kimwolf e AISURU.

Essa relação sugere que um único grupo de hackers pode estar operando ambas as botnets para maximizar o alcance e evitar a detecção.

Capacidades de ataque e monetização

O Kimwolf suporta 13 métodos distintos de DDoS sobre UDP, TCP e ICMP, visando países como EUA, China, França, Alemanha e Canadá. Curiosamente, mais de 96% dos comandos emitidos são direcionados ao uso de nós infectados como serviços proxy, indicando uma forte motivação de lucro.

Os componentes adicionais implantados em dispositivos comprometidos incluem:

  • Cliente de comandos baseado em Rust – cria uma rede proxy
  • ByteConnect SDK – monetiza o tráfego de IoT para desenvolvedores e proprietários de dispositivos.
  • A criptografia TLS protege todas as comunicações, enquanto os dados sensíveis sobre servidores C2 e resolvedores DNS também são criptografados, aumentando o sigilo operacional.

O Contexto Mais Amplo das Botnets Gigantescas

Desde o surgimento do Mirai em 2016, as gigantescas botnets de IoT evoluíram significativamente. As primeiras versões visavam principalmente roteadores de banda larga e câmeras, mas botnets modernas como Badbox, Bigpanzi, Vo1d e Kimwolf estão se concentrando cada vez mais em smart TVs e dispositivos de TV, refletindo a mudança de interesse dos atacantes em direção a dispositivos de consumo de alta largura de banda.

Tendendo

Mais visto

Carregando...