Скидка на мультилицензию
База данных угроз Ботнеты Кампания ботнета Kimwolf

Кампания ботнета Kimwolf

К Mezo году в Ботнеты году
Перевести на:

Исследователи в области безопасности обнаружили масштабный ботнет, ориентированный на Android, известный как Kimwolf, который скомпрометировал более двух миллионов устройств, используя уязвимости в сетях резидентных прокси. Вредоносная программа превращает обычные потребительские устройства в глобальную платформу для атак, незаметно перенаправляя вредоносный трафик и обеспечивая крупномасштабные распределенные атаки типа «отказ в обслуживании» (DDoS). Наблюдения показывают, что каждую неделю атакуют около 12 миллионов уникальных IP-адресов, что подчеркивает чрезвычайный масштаб этой операции.

Происхождение, эволюция и связь с айсуру

Впервые ботнет Kimwolf был публично проанализирован в декабре 2025 года , когда исследователи выявили тесные технические и инфраструктурные связи с другим ботнетом под названием AISURU. Имеющиеся данные свидетельствуют о том, что Kimwolf активен как минимум с августа 2025 года и представляет собой эволюцию AISURU на базе Android. Исследователи все больше склоняются к мнению, что этот ботнет обеспечил несколько рекордных DDoS-атак, наблюдавшихся в конце прошлого года.

Глобальная распространенность инфекции и целевые устройства

Несмотря на глобальное присутствие Kimwolf, основная концентрация заражений приходится на Вьетнам, Бразилию, Индию и Саудовскую Аравию. Значительная часть скомпрометированных систем — это неофициальные смарт-телевизоры и телеприставки на базе Android, многие из которых поставляются с небезопасными настройками по умолчанию.

По меньшей мере 67% подключенных устройств предоставляют неаутентифицированную службу Android Debug Bridge (ADB), что делает их уязвимыми для удаленного управления. Следователи подозревают, что многие из этих продуктов предварительно загружаются комплектами разработки программного обеспечения (SDK), связанными с прокси-серверами, прежде чем попасть к потребителям, фактически вовлекая их в экосистемы прокси-серверов, которые впоследствии становятся каналами доставки вредоносного ПО.

Как Кимвольф распространяет и поддерживает контроль

Операторы Kimwolf используют крупные сети резидентных прокси-серверов для сканирования интернета в поисках устройств Android, на которых запущены открытые сервисы ADB. После обнаружения вредоносное ПО устанавливается удаленно, превращая устройство в ретранслятор трафика и узел атаки. Основная полезная нагрузка открывает прослушиватель на порту 40860 и устанавливает исходящую связь с 85.234.91[.]247:1337, откуда получает оперативные команды.

Ещё в декабре 2025 года источники заражения были отслежены до IP-адресов прокси-серверов, арендованных у китайской компании IPIDEA, которая позиционирует себя как ведущий в мире сервис IP-прокси с более чем 6,1 миллионами ежедневно обновляемых IP-адресов и 69 000 новыми адресами каждый день. 27 декабря IPIDEA выпустила обновление безопасности, блокирующее доступ к локальным сетям и конфиденциальным портам, после того как появились доказательства того, что злоумышленники использовали туннелирование через установленное клиентами прокси-программное обеспечение для доступа к внутренним устройствам.

Аналитики охарактеризовали масштабы уязвимости, созданной этой технологией, как беспрецедентные, поскольку миллионы потребительских систем оказались непосредственно под угрозой автоматизированной эксплуатации.

Монетизация: прокси, полезные нагрузки и платные атаки.

С самого начала финансовые мотивы Kimwolf были ясны. Операторы агрессивно коммерциализировали свою инфраструктуру, превращая скомпрометированные устройства в прибыльные активы по нескольким каналам:

  • Продажа доступа к резидентным прокси-серверам, рекламируемая по цене от 0,20 доллара за ГБ или примерно 1400 долларов в месяц за неограниченный трафик, привлекла внимание многих прокси-сервисов.
  • Внедрение дополнительных SDK для монетизации, в первую очередь Plainproxies Byteconnect SDK, который направляет платные прокси-задачи с командного сервера на зараженные устройства через 119 выделенных ретрансляционных серверов.
  • Использование ботнета для киберпреступлений, включая масштабные DDoS-атаки и замеченные кампании по подбору учетных данных против IMAP-сервисов и популярных онлайн-платформ.

Наличие предварительно зараженных телевизионных приставок и интеграция коммерческих SDK для совместного использования полосы пропускания убедительно свидетельствуют об углублении сотрудничества между операторами ботнетов и сегментами экономики, использующей прокси-серверы.

Меры защиты и снижение рисков

Для противодействия подобным угрозам необходимы скоординированные действия как со стороны поставщиков услуг, так и со стороны конечных пользователей:

  • Прокси-сети должны блокировать трафик, предназначенный для диапазонов адресов RFC 1918, предотвращая доступ внешних клиентов к внутренним частным сетям, где находятся потребительские устройства.
  • Организациям и частным лицам необходимо отключать или ограничивать несанкционированный доступ к ADB в системах Android, особенно во встроенных устройствах и устройствах типа IoT, которые часто поставляются с небезопасными настройками по умолчанию.

Без этих мер контроля экосистемы резидентных прокси-серверов будут и впредь предоставлять идеальное прикрытие для крупномасштабного развертывания вредоносного ПО и расширения ботнетов.

В тренде

Кампания ботнета Kimwolf

Ботнеты
Исследователи в области безопасности обнаружили масштабный ботнет, ориентированный на Android, известный как Kimwolf, который скомпрометировал более двух миллионов устройств, используя уязвимости в сетях резидентных прокси. Вредоносная программа превращает обычные потребительские устройства в глобальную платформу для атак, незаметно перенаправляя вредоносный трафик и обеспечивая...

Наиболее просматриваемые

Загрузка...