Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Campania Kimwolf Botnet

Campania Kimwolf Botnet

Până în Mezo în Rețele bot
Tradu in:

Cercetătorii în domeniul securității au descoperit o rețea botnet masivă axată pe Android, cunoscută sub numele de Kimwolf, care a compromis peste două milioane de dispozitive prin exploatarea rețelelor proxy rezidențiale. Malware-ul transformă hardware-ul obișnuit al consumatorilor într-o platformă de atac globală, direcționând discret traficul malițios și permițând operațiuni de tip denial-of-service (DDoS) distribuite la scară largă. Observațiile arată aproximativ 12 milioane de adrese IP unice în fiecare săptămână, subliniind amploarea extraordinară a acestei operațiuni.

Origini, evoluție și legături cu AISURU

Kimwolf a fost analizat public pentru prima dată în decembrie 2025 , când anchetatorii au identificat legături tehnice și de infrastructură puternice cu o altă rețea de bot-uri numită AISURU. Dovezile sugerează că Kimwolf este activ cel puțin din august 2025 și reprezintă o evoluție a AISURU bazată pe Android. Cercetătorii cred din ce în ce mai mult că această rețea de bot-uri a alimentat mai multe campanii DDoS record observate spre sfârșitul anului trecut.

Amprenta globală a infecțiilor și dispozitivele direcționate

Deși Kimwolf are o prezență la nivel mondial, infecțiile sunt puternic concentrate în Vietnam, Brazilia, India și Arabia Saudită. O parte semnificativă a sistemelor compromise sunt televizoare inteligente și set-top box-uri Android neoficiale, multe dintre ele livrate cu configurații implicite nesigure.

Cel puțin 67% dintre dispozitivele conectate expun un serviciu Android Debug Bridge (ADB) neautentificat, lăsându-le deschise controlului de la distanță. Anchetatorii suspectează că multe dintre aceste produse sunt preîncărcate cu kituri de dezvoltare software (SDK) legate de proxy înainte de a ajunge la consumatori, înscriindu-le efectiv în ecosisteme proxy care ulterior devin canale de livrare pentru malware.

Cum Kimwolf răspândește și menține controlul

Operatorii Kimwolf se bazează pe rețele proxy rezidențiale mari pentru a scana internetul în căutarea unor dispozitive Android care rulează servicii ADB expuse. Odată identificat, malware-ul este instalat de la distanță, transformând dispozitivul într-un releu de trafic și un nod de atac. Sarcina utilă principală deschide un listener pe portul 40860 și stabilește comunicarea de ieșire cu 85.234.91[.]247:1337, de la care primește comenzi operaționale.

În decembrie 2025, infecțiile au fost urmărite către adrese IP proxy închiriate de la IPIDEA, un furnizor cu sediul în China, care se promovează ca fiind liderul mondial în domeniul proxy IP, cu peste 6,1 milioane de IP-uri actualizate zilnic și 69.000 de adrese noi în fiecare zi. Pe 27 decembrie, IPIDEA a implementat o actualizare de securitate care blochează accesul la rețelele locale și porturile sensibile, după ce au apărut dovezi că atacatorii făceau tuneluri prin software-ul proxy instalat de clienți pentru a ajunge la dispozitivele interne.

Expunerea creată de această tehnică a fost descrisă de analiști ca fiind fără precedent, plasând milioane de sisteme de consum direct în calea exploatării automate.

Monetizare: Proxy-uri, sarcini utile și atacuri plătite

Încă de la început, motivele financiare ale Kimwolf au fost clare. Operatorii și-au comercializat agresiv infrastructura, transformând dispozitivele compromise în active generatoare de profit prin mai multe canale:

  • Vânzarea de acces proxy rezidențial, promovat la un preț de doar 0,20 USD pe GB sau aproximativ 1.400 USD pe lună pentru lățime de bandă nelimitată, a atras o adoptare timpurie din partea mai multor servicii proxy.
  • Implementarea unor SDK-uri secundare de monetizare, în special a SDK-ului Plainproxies Byteconnect, care direcționează sarcini proxy plătite de la un server de comandă către dispozitive infectate prin intermediul a 119 servere de retransmisie dedicate.
  • Abuzul botnet-ului pentru operațiuni de criminalitate cibernetică, inclusiv activitate DDoS la scară largă și campanii de umplere a credențialelor împotriva serviciilor IMAP și a platformelor online populare.

Prezența boxelor TV preinfectate și integrarea SDK-urilor comerciale de partajare a lățimii de bandă sugerează cu tărie o colaborare tot mai profundă între operatorii de botnet-uri și segmentele economiei proxy.

Măsuri defensive și reducerea riscurilor

Pentru a atenua amenințări similare, sunt necesare acțiuni coordonate atât între furnizorii de servicii, cât și între mediile utilizatorilor finali:

  • Rețelele proxy ar trebui să blocheze traficul destinat intervalelor de adrese RFC 1918, împiedicând clienții externi să ajungă la rețelele private interne unde se află dispozitivele consumatorilor.
  • Organizațiile și persoanele fizice trebuie să dezactiveze sau să restricționeze accesul ADB neautentificat pe sistemele Android, în special pe dispozitivele încorporate și de tip IoT, care sunt adesea livrate cu setări implicite nesecurizate.

Fără aceste controale, ecosistemele proxy rezidențiale vor continua să ofere o acoperire ideală pentru implementarea de programe malware la scară largă și extinderea botnet-urilor.

Trending

Cele mai văzute

Se încarcă...