Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware KadNap

Programe malware KadNap

Până în Mezo în Programe malware
Tradu in:

Cercetătorii în domeniul securității cibernetice au identificat o nouă tulpină de malware, cunoscută sub numele de KadNap, care vizează în principal routerele Asus și le recrutează într-o rețea de bot-uri concepută pentru a gestiona traficul de internet malițios. Observat pentru prima dată în august 2025, malware-ul a infectat deja peste 14.000 de dispozitive din întreaga lume. Analizele indică faptul că peste 60% dintre sistemele compromise se află în Statele Unite, în timp ce grupuri mai mici de infecții au fost detectate în Taiwan, Hong Kong, Rusia, Regatul Unit, Australia, Brazilia, Franța, Italia și Spania.

Deși routerele Asus par a fi principalele ținte, investigațiile arată că operatorii din spatele KadNap și-au extins eforturile pentru a include o gamă mai largă de dispozitive de rețea de la marginea drumului. Această extindere sugerează o încercare deliberată de a maximiza dimensiunea și rezistența infrastructurii botnet.

Ascunderea peer-to-peer prin tehnologia Kademlia

O caracteristică definitorie a operațiunii KadNap este dependența sa de o implementare modificată a protocolului Kademlia Distributed Hash Table (DHT). Acest protocol este integrat într-o arhitectură peer-to-peer care ascunde locația infrastructurii botnet-ului prin ascunderea sistemelor de comandă în noduri distribuite.

Dispozitivele compromise comunică prin rețeaua DHT pentru a descoperi și a se conecta la serverele de comandă și control (C2). Prin dispersarea comunicării într-un mediu descentralizat, malware-ul evită dependența de un singur punct de infrastructură, complicând semnificativ eforturile tradiționale de detectare și eliminare. Abordarea îmbină eficient traficul rău intenționat cu activitatea legitimă a rețelei peer-to-peer, ceea ce face ca monitorizarea și întreruperea atacurilor să fie considerabil mai dificile pentru apărători.

Mecanismul de infectare și strategia de persistență

Lanțul de infectare începe cu un script shell numit aic.sh, care este descărcat de pe un server de comenzi găzduit la adresa IP 212.104.141.140. Acest script inițiază procesul de integrare a dispozitivului compromis în ecosistemul peer-to-peer al botnet-ului.

Scriptul stabilește persistența prin crearea unei sarcini cron programate care preia același script la minutul 55 din fiecare oră. De fiecare dată când este descărcat, scriptul este redenumit „.asusrouter” și executat. Odată ce persistența este securizată, scriptul descarcă un fișier binar ELF malițios, îl redenumește kad și îl rulează, implementând efectiv sarcina utilă malware KadNap. Malware-ul a fost proiectat să funcționeze pe dispozitive care utilizează atât procesoare ARM, cât și MIPS, permițându-i să compromită o gamă largă de arhitecturi de routere.

Descoperire de la egal la egal și coordonare de rețea bazată pe timp

KadNap încorporează un mecanism pentru sincronizarea activității în rețeaua sa descentralizată. Programul malware se conectează la un server Network Time Protocol (NTP) pentru a recupera ora curentă a sistemului și o combină cu informațiile despre timpul de funcționare al dispozitivului infectat. Aceste valori sunt utilizate pentru a genera un hash care ajută dispozitivul infectat să localizeze colegii în rețeaua distribuită.

Acest proces permite sistemelor compromise să descopere alte noduri, să obțină instrucțiuni și să descarce fișiere malițioase suplimentare fără a se baza pe o structură de comandă centralizată. Scripturile de suport, cum ar fi fwr.sh și /tmp/.sose, îndeplinesc și sarcini suplimentare, inclusiv dezactivarea portului 22, portul TCP standard utilizat de Secure Shell (SSH) și extragerea listelor de combinații de adrese și porturi ale serverului C2 utilizate pentru comunicarea ulterioară.

Comercializarea botnet-ului prin servicii proxy

Odată ce routerele sunt compromise, acestea sunt integrate într-o rețea proxy comercială, comercializată sub numele Doppelgänger prin intermediul site-ului web doppelganger.shop. Cercetătorii în domeniul securității evaluează acest serviciu ca fiind o versiune rebranduită a Faceless, o platformă proxy asociată anterior cu malware-ul TheMoon.

Conform materialelor promoționale publicate de serviciu, rețeaua oferă acces proxy rezidențial în peste 50 de țări și promovează „anonimat 100%” pentru utilizatori. Dovezile sugerează că platforma a fost lansată în jurul lunii mai sau iunie 2025. Infrastructura segmentează dispozitivele infectate după tip și model, deoarece nu fiecare dispozitiv compromis comunică cu fiecare server de comandă. Această segmentare indică o strategie structurată și scalabilă de gestionare a botnet-urilor.

Rețeaua proxy a fost deja observată ca fiind exploatată de mai mulți actori malițioși. Cu toate acestea, atribuirea rămâne dificilă deoarece routerele implicate în rețea sunt uneori infectate simultan cu familii suplimentare de programe malware, ceea ce ascunde faptul care actor este responsabil pentru anumite activități malițioase.

Măsuri defensive pentru proprietarii de routere

Ascensiunea KadNap evidențiază riscul tot mai mare reprezentat de dispozitivele periferice slab securizate, atât în mediile casnice, cât și în cele ale birourilor mici. Apărătorii de rețele și utilizatorii individuali pot reduce semnificativ expunerea prin adoptarea mai multor practici de securitate:

  • Întreține routerele și dispozitivele de rețea cu cele mai recente actualizări de firmware și securitate.
  • Reporniți dispozitivele periodic pentru a șterge procesele temporare rău intenționate, atunci când este cazul.
  • Înlocuiți acreditările implicite cu parole puternice și unice.
  • Restricționați și securizați interfețele de gestionare administrativă.
  • Retrageți și înlocuiți routerele care au ajuns la sfârșitul duratei de viață și nu mai primesc actualizări de securitate de la furnizor.

O rețea de bot-uri descentralizată concepută pentru a fi ascunsă

KadNap se distinge de multe botnet-uri tradiționale care acceptă servicii proxy anonime prin utilizarea unei arhitecturi descentralizate peer-to-peer. Prin valorificarea protocolului Kademlia DHT, botnet-ul distribuie controlul între dispozitivele infectate, în loc să se bazeze pe servere centralizate ușor de identificat.

Această arhitectură oferă operatorilor canale de comunicare rezistente, semnificativ mai greu de detectat, blocat sau dezmembrat. Obiectivul strategic este clar: menținerea continuității operaționale, evitarea monitorizării securității și complicarea eforturilor de răspuns defensiv pentru echipele de securitate cibernetică.

Trending

Cele mai văzute

Se încarcă...