Kimwolf Botnet

Odborníci na kybernetickú bezpečnosť odhalili rozsiahlu distribuovanú botnetovú sieť typu „denial-of-service“ (DDoS) známu ako Kimwolf, ktorá už infikovala viac ako 1,8 milióna zariadení. Patria medzi ne televízory, set-top boxy a tablety so systémom Android. Prvé vyšetrovania naznačujú možné prepojenie s notoricky známou botnetou AISURU. Objav poukazuje na rastúcu sofistikovanosť malvéru zameraného na internet vecí a podčiarkuje kritickú potrebu ostražitosti pri ochrane pripojených zariadení.

Anatómia Kimwolfa

Kimwolf je vytvorený s použitím Native Development Kit (NDK) a kombinuje viacero funkcií nad rámec tradičných DDoS útokov. Medzi kľúčové vlastnosti patria:

• Presmerovanie proxy servera
• Prístup k spätnému shellu
• Funkcie správy súborov

Malvér botnetu je navrhnutý tak, aby spúšťal jeden proces na zariadení, dešifroval vložené domény Command-and-Control (C2), rozpoznával IP adresu C2 pomocou DNS-over-TLS a vykonával príkazy prijaté od svojich operátorov.

Rekordný rozsah a aktivita

Len za tri dni, od 19. do 22. novembra 2025, spoločnosť Kimwolf údajne vydala 1,7 miliardy príkazov na DDoS útok. Jedna z jej domén C2, 14emeliaterracewestroxburyma02132[.]su, sa dokonca krátko objavila medzi 100 najlepšími doménami Cloudflare, čím dočasne prekonala Google.

Medzi primárne ciele infekcie patria domáce televízne prijímače, ako napríklad:

• TV BOX, SuperBOX, HiDPTAndroid
• P200, X96Q, XBOX, SmartTV, MX10

Geograficky sú infekcie sústredené v Brazílii, Indii, USA, Argentíne, Južnej Afrike a na Filipínach, hoci presný spôsob šírenia zostáva nejasný.

Evolúcia a odolnosť

Kimwolf preukazuje pokročilú prispôsobivosť. Jeho domény C2 boli v decembri 2025 zablokované najmenej trikrát, čo viedlo prevádzkovateľov k prijatiu domén Ethereum Name Service (ENS) na posilnenie infraštruktúry. Najnovšie verzie malvéru obsahujú EtherHiding, techniku, ktorá získava skutočnú IP adresu C2 prostredníctvom inteligentných zmlúv a transformuje ju pomocou operácií XOR, čo značne sťažuje zablokovanie.

Pripojenie k AISURU a zdieľanej infraštruktúre

Dôkazy spájajú Kimwolf s botnetom AISURU, známym rekordnými DDoS útokmi:

• Oba botnety koexistovali na rovnakých infikovaných zariadeniach medzi septembrom a novembrom 2025.
• Podobnosti v balíkoch APK a certifikátoch na podpisovanie kódu („John Dinglebert Dinglenut VIII VanSack Smith“) naznačujú spoločný pôvod vývoja.
• Server sťahovania (93.95.112[.]59) potvrdil prítomnosť skriptov odkazujúcich na súbory APK Kimwolf aj AISURU.

Tento vzťah naznačuje, že jedna hackerská skupina potenciálne prevádzkuje oba botnety s cieľom maximalizovať dosah a vyhnúť sa odhaleniu.

Útočné možnosti a monetizácia

Kimwolf podporuje 13 rôznych metód DDoS cez UDP, TCP a ICMP, pričom sa zameriava na krajiny vrátane USA, Číny, Francúzska, Nemecka a Kanady. Je zaujímavé, že viac ako 96 % vydaných príkazov je zameraných na použitie infikovaných uzlov ako proxy služieb, čo naznačuje silný ziskový motív.

Medzi ďalšie komponenty nasadené na napadnutých zariadeniach patria:

• Príkazový klient založený na Ruste – vytvára proxy sieť
• ByteConnect SDK – monetizuje prevádzku internetu vecí pre vývojárov a majiteľov zariadení
• Šifrovanie TLS zabezpečuje všetku komunikáciu, pričom citlivé údaje o serveroch C2 a DNS resolveroch sú tiež šifrované, čo zvyšuje operačnú utajenie.

Širší kontext obrovských botnetov

Od vzniku siete Mirai v roku 2016 sa obrovské botnety internetu vecí výrazne vyvinuli. Prvé verzie sa zameriavali predovšetkým na širokopásmové routery a kamery, ale moderné botnety ako Badbox, Bigpanzi, Vo1d a Kimwolf sa čoraz viac zameriavajú na inteligentné televízory a televízne boxy, čo odráža presúvajúci sa záujem útočníkov smerom k spotrebiteľským zariadeniam s vysokou šírkou pásma.