Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Campanha da Botnet Kimwolf

Campanha da Botnet Kimwolf

Por Mezo em Redes de Bots
Traduzir Para:

Pesquisadores de segurança descobriram uma enorme botnet focada em Android, conhecida como Kimwolf, que comprometeu mais de dois milhões de dispositivos explorando redes proxy residenciais. O malware transforma o hardware de consumidores comuns em uma plataforma de ataque global, roteando silenciosamente tráfego malicioso e possibilitando operações de negação de serviço distribuídas (DDoS) em larga escala. Observações mostram aproximadamente 12 milhões de endereços IP únicos por semana, evidenciando o alcance extraordinário dessa operação.

Origens, evolução e ligações com AISURU

A análise pública do Kimwolf começou em dezembro de 2025 , quando investigadores identificaram fortes ligações técnicas e infraestruturais com outra botnet chamada AISURU. As evidências sugerem que o Kimwolf está ativo desde pelo menos agosto de 2025 e representa uma evolução da AISURU baseada em Android. Os investigadores acreditam cada vez mais que esta botnet foi responsável por diversas campanhas de DDoS recordistas observadas no final do ano passado.

Pegada global de infecção e dispositivos direcionados

Embora o Kimwolf tenha presença global, as infecções estão fortemente concentradas no Vietnã, Brasil, Índia e Arábia Saudita. Uma parcela significativa dos sistemas comprometidos são smart TVs e decodificadores Android não oficiais, muitos dos quais são enviados com configurações padrão inseguras.

Pelo menos 67% dos dispositivos conectados expõem um serviço Android Debug Bridge (ADB) não autenticado, deixando-os vulneráveis ao controle remoto. Os investigadores suspeitam que muitos desses produtos vêm com kits de desenvolvimento de software (SDKs) relacionados a proxies pré-instalados antes de chegarem aos consumidores, inscrevendo-os efetivamente em ecossistemas de proxies que posteriormente se tornam canais de distribuição de malware.

Como Kimwolf dissemina e mantém o controle

Os operadores do Kimwolf dependem de grandes redes de proxy residenciais para vasculhar a internet em busca de dispositivos Android executando serviços ADB expostos. Uma vez identificados, o malware é instalado remotamente, transformando o dispositivo em um retransmissor de tráfego e nó de ataque. A carga útil principal abre um ouvinte na porta 40860 e estabelece comunicação de saída com 85.234.91[.]247:1337, de onde recebe comandos operacionais.

Até dezembro de 2025, infecções foram rastreadas até endereços IP de proxy alugados da IPIDEA, uma empresa chinesa que se anunciava como o principal serviço de proxy IP do mundo, com mais de 6,1 milhões de IPs atualizados diariamente e 69.000 novos endereços por dia. Em 27 de dezembro, a IPIDEA implementou uma atualização de segurança bloqueando o acesso a redes locais e portas sensíveis após surgirem evidências de que invasores estavam utilizando softwares de proxy instalados pelos clientes para acessar dispositivos internos.

A exposição criada por essa técnica foi descrita por analistas como sem precedentes, colocando milhões de sistemas de consumidores diretamente no caminho da exploração automatizada.

Monetização: Proxies, Payloads e Ataques Pagos

Desde o início, os objetivos financeiros da Kimwolf eram claros. Os operadores comercializavam agressivamente sua infraestrutura, transformando dispositivos comprometidos em ativos geradores de lucro por meio de múltiplos canais:

  • A venda de acesso proxy residencial, anunciada a preços tão baixos quanto US$ 0,20 por GB ou cerca de US$ 1.400 por mês para largura de banda ilimitada, atraiu a adesão inicial de vários serviços de proxy.
  • Implantação de SDKs de monetização secundários, principalmente o SDK Byteconnect da Plainproxies, que encaminha tarefas de proxy pagas de um servidor de comando para dispositivos infectados por meio de 119 servidores de retransmissão dedicados.
  • Uso abusivo da botnet para operações de cibercrime, incluindo atividades de DDoS em larga escala e campanhas de preenchimento de credenciais contra serviços IMAP e plataformas online populares.

A presença de aparelhos de TV pré-infectados e a integração de SDKs comerciais de compartilhamento de largura de banda sugerem fortemente um aprofundamento da colaboração entre operadores de botnets e segmentos da economia proxy.

Medidas defensivas e redução de riscos

Para mitigar ameaças semelhantes, é necessária uma ação coordenada entre os provedores de serviços e os ambientes dos usuários finais:

  • As redes proxy devem bloquear o tráfego destinado aos intervalos de endereços RFC 1918, impedindo que clientes externos acessem redes privadas internas onde residem os dispositivos dos consumidores.
  • Organizações e indivíduos devem desativar ou restringir o acesso ADB não autenticado em sistemas Android, especialmente em dispositivos embarcados e do tipo IoT, que frequentemente são fornecidos com configurações padrão inseguras.

Sem esses controles, os ecossistemas de proxy residenciais continuarão a fornecer cobertura ideal para a implantação de malware em larga escala e a expansão de botnets.

Tendendo

Mais visto

Carregando...