Ботнет Кимвольф
Эксперты по кибербезопасности обнаружили масштабную распределенную DDoS-атаку, известную как Kimwolf, которая уже заразила более 1,8 миллиона устройств. Среди них — телевизоры, телеприставки и планшеты на базе Android. Предварительные исследования указывают на потенциальную связь с печально известной ботнет-сетью AISURU. Это открытие подчеркивает растущую изощренность вредоносного ПО, нацеленного на устройства Интернета вещей, и указывает на острую необходимость бдительности в защите подключенных устройств.
Оглавление
Анатомия Кимвольфа
Kimwolf создан с использованием Native Development Kit (NDK) и объединяет в себе множество возможностей, выходящих за рамки традиционных DDoS-атак. Ключевые особенности включают в себя:
- Переадресация прокси
- Обратный доступ к оболочке
- Функции управления файлами
Вредоносное ПО ботнета предназначено для запуска одного процесса на каждом устройстве, расшифровки встроенных доменов управления и контроля (C2), определения IP-адреса C2 с использованием DNS-over-TLS и выполнения команд, полученных от операторов.
Рекордные масштабы и активность
По сообщениям, всего за три дня, с 19 по 22 ноября 2025 года, Kimwolf отдал 1,7 миллиарда команд для DDoS-атак. Один из его доменов управления и контроля, 14emeliaterracewestroxburyma02132[.]su, даже ненадолго появился в списке 100 самых атакующих доменов Cloudflare, временно обогнав Google.
К основным целям заражения относятся бытовые телевизионные приставки, такие как:
- ТВ-приставка, Супербокс, HiDPTAndroid
- P200, X96Q, XBOX, СмартТВ, MX10
Географически инфекции сосредоточены в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах, хотя точный механизм распространения остается неясным.
Эволюция и устойчивость
Kimwolf демонстрирует высокую адаптивность. Его домены управления и контроля (C2) были отключены как минимум трижды в декабре 2025 года, что побудило операторов перейти на использование доменов Ethereum Name Service (ENS) для укрепления инфраструктуры. В последних версиях вредоносного ПО используется технология EtherHiding, которая извлекает фактический IP-адрес C2 с помощью смарт-контрактов и преобразует его посредством операций XOR, что значительно затрудняет отключение системы.
Подключение к AISURU и общей инфраструктуре
Имеющиеся доказательства связывают Kimwolf с ботнетом AISURU, известным своими рекордными DDoS-атаками:
- Оба ботнета сосуществовали на одних и тех же зараженных устройствах в период с сентября по ноябрь 2025 года.
- Сходство в APK-пакетах и сертификатах подписи кода («John Dinglebert Dinglenut VIII VanSack Smith») указывает на общее происхождение разработки.
- Сервер загрузки (93.95.112[.]59) подтвердил наличие скриптов, ссылающихся на APK-файлы Kimwolf и AISURU.
Эта взаимосвязь указывает на то, что обе ботнет-сети потенциально управляются одной хакерской группой для максимального охвата аудитории и избежания обнаружения.
Возможности атаки и монетизация
Kimwolf поддерживает 13 различных методов DDoS-атак по протоколам UDP, TCP и ICMP, нацеленных на такие страны, как США, Китай, Франция, Германия и Канада. Интересно, что более 96% отданных команд направлены на использование зараженных узлов в качестве прокси-сервисов, что указывает на сильную мотивацию к получению прибыли.
К дополнительным компонентам, развернутым на скомпрометированных устройствах, относятся:
- Клиент командной строки на основе Rust – создает прокси-сеть
- ByteConnect SDK – монетизирует трафик IoT для разработчиков и владельцев устройств.
- Шифрование TLS обеспечивает безопасность всех коммуникаций, а конфиденциальные данные о серверах управления и контроля (C2) и DNS-серверах также шифруются, что повышает скрытность операций.
Более широкий контекст гигантских ботнетов
С момента появления Mirai в 2016 году гигантские ботнеты для Интернета вещей значительно эволюционировали. Ранние версии в основном были нацелены на широкополосные маршрутизаторы и камеры, но современные ботнеты, такие как Badbox, Bigpanzi, Vo1d и Kimwolf, все чаще фокусируются на смарт-телевизорах и ТВ-приставках, что отражает изменение интересов злоумышленников в сторону потребительских устройств с высокой пропускной способностью.
