Botnet-ul Kimwolf

Experții în securitate cibernetică au descoperit o rețea masivă de tip botnet de tip DDoS (distributed denial-of-service) cunoscută sub numele de Kimwolf, care a inclus deja peste 1,8 milioane de dispozitive infectate. Acestea includ televizoare cu sistem de operare Android, set-top box-uri și tablete. Primele investigații sugerează o posibilă conexiune cu cunoscuta rețea de botnet AISURU. Descoperirea evidențiază sofisticarea tot mai mare a programelor malware direcționate către IoT și subliniază nevoia critică de vigilență în protejarea dispozitivelor conectate.

Anatomia lui Kimwolf

Kimwolf este construit folosind Native Development Kit (NDK) și combină multiple capabilități dincolo de atacurile DDoS tradiționale. Caracteristicile cheie includ:

• Redirecționare proxy
• Acces invers la shell
• Funcții de gestionare a fișierelor

Malware-ul rețelei botnet este conceput să ruleze un singur proces per dispozitiv, să decripteze domeniile Command-and-Control (C2) încorporate, să rezolve adresa IP C2 folosind DNS-over-TLS și să execute comenzi primite de la operatorii săi.

Scară și activitate record

În doar trei zile, între 19 și 22 noiembrie 2025, Kimwolf ar fi emis 1,7 miliarde de comenzi de atac DDoS. Unul dintre domeniile sale C2, 14emeliaterracewestroxburyma02132[.]su, a apărut chiar și pentru scurt timp printre primele 100 de domenii Cloudflare, depășind temporar Google.

Țintele principale de infecție includ boxe TV rezidențiale, cum ar fi:

• TV BOX, SuperBOX, HiDPTAndroid
• P200, X96Q, XBOX, SmartTV, MX10

Din punct de vedere geografic, infecțiile sunt concentrate în Brazilia, India, SUA, Argentina, Africa de Sud și Filipine, deși metoda exactă de propagare rămâne neclară.

Evoluție și reziliență

Kimwolf demonstrează o adaptabilitate avansată. Domeniile sale C2 au fost eliminate de cel puțin trei ori în decembrie 2025, determinând operatorii să adopte domenii Ethereum Name Service (ENS) pentru a consolida infrastructura. Versiunile recente ale malware-ului încorporează EtherHiding, o tehnică care preia adresa IP C2 reală prin contracte inteligente și o transformă prin operațiuni XOR, ceea ce face ca eliminarea lor să fie mult mai dificilă.

Conectare la AISURU și infrastructură partajată

Dovezile leagă Kimwolf de botnet-ul AISURU, cunoscut pentru atacuri DDoS record:

• Ambele botneturi au coexistat pe aceleași dispozitive infectate între septembrie și noiembrie 2025.
• Asemănările dintre pachetele APK și certificatele de semnare a codului („John Dinglebert Dinglenut VIII VanSack Smith”) sugerează o origine comună a dezvoltării.
• Un server de descărcare (93.95.112[.]59) a confirmat prezența scripturilor care fac referire atât la APK-urile Kimwolf, cât și la cele AISURU.

Această relație sugerează că un singur grup de hackeri ar putea opera ambele botnet-uri pentru a maximiza acoperirea și a evita detectarea.

Capacități de atac și monetizare

Kimwolf acceptă 13 metode DDoS distincte prin UDP, TCP și ICMP, vizând țări precum SUA, China, Franța, Germania și Canada. Interesant este că peste 96% din comenzile emise sunt direcționate către utilizarea nodurilor infectate ca servicii proxy, indicând un puternic motiv de profit.

Printre componentele suplimentare implementate pe dispozitivele compromise se numără:

• Client de comandă bazat pe Rust – construiește o rețea proxy
• SDK-ul ByteConnect – monetizează traficul IoT pentru dezvoltatori și proprietari de dispozitive
• Criptarea TLS securizează toate comunicațiile, în timp ce datele sensibile despre serverele C2 și rezolverele DNS sunt, de asemenea, criptate, sporind discretizarea operațională.

Contextul mai larg al botneturilor gigantice

De la apariția Mirai în 2016, botnet-urile IoT gigantice au evoluat semnificativ. Versiunile timpurii vizau în principal routerele și camerele de bandă largă, dar botnet-urile moderne, cum ar fi Badbox, Bigpanzi, Vo1d și Kimwolf, se concentrează din ce în ce mai mult pe televizoare inteligente și boxe TV, reflectând schimbarea intereselor atacatorilor către dispozitivele de larg consum cu lățime de bandă mare.