Multilicenčná zľavová ponuka
Databáza hrozieb Botnety Kampaň s botnetmi Kimwolf

Kampaň s botnetmi Kimwolf

Do roku Mezo v roku Botnety
Preložiť do:

Bezpečnostní výskumníci odhalili rozsiahly botnet zameraný na Android, známy ako Kimwolf, ktorý napadol viac ako dva milióny zariadení zneužívaním rezidenčných proxy sietí. Malvér transformuje bežný spotrebiteľský hardvér na globálnu útočnú platformu, ktorá nenápadne smeruje škodlivú prevádzku a umožňuje rozsiahle distribuované operácie odmietnutia služby (DDoS). Pozorovania ukazujú približne 12 miliónov unikátnych IP adries každý týždeň, čo zdôrazňuje mimoriadny rozsah tejto operácie.

Pôvod, vývoj a prepojenia s AISURU

Kimwolf bol prvýkrát verejne analyzovaný v decembri 2025 , keď vyšetrovatelia identifikovali silné technické a infraštruktúrne väzby na iný botnet s názvom AISURU. Dôkazy naznačujú, že Kimwolf je aktívny minimálne od augusta 2025 a predstavuje evolúciu AISURU založenú na systéme Android. Výskumníci sa čoraz viac domnievajú, že tento botnet poháňal niekoľko rekordných DDoS kampaní pozorovaných koncom minulého roka.

Globálna infekčná stopa a cielené zariadenia

Hoci má Kimwolf celosvetové zastúpenie, infekcie sú silne koncentrované vo Vietname, Brazílii, Indii a Saudskej Arábii. Významnú časť napadnutých systémov tvoria neoficiálne inteligentné televízory a set-top boxy so systémom Android, z ktorých mnohé sa dodávajú s nezabezpečenými predvolenými konfiguráciami.

Najmenej 67 % pripojených zariadení vystavuje neoverenú službu Android Debug Bridge (ADB), čím ich umožňuje diaľkové ovládanie. Vyšetrovatelia majú podozrenie, že mnohé z týchto produktov sú predinštalované súpravy na vývoj softvéru (SDK) súvisiace s proxy servermi ešte predtým, ako sa dostanú k spotrebiteľom, čím ich efektívne registrujú do proxy ekosystémov, ktoré sa neskôr stanú distribučnými kanálmi pre malvér.

Ako Kimwolf šíri a udržiava kontrolu

Prevádzkovatelia spoločnosti Kimwolf sa spoliehajú na rozsiahle rezidenčné proxy siete, ktoré skenujú internet a hľadajú zariadenia so systémom Android s exponovanými službami ADB. Po identifikácii sa malvér nainštaluje na diaľku, čím sa zariadenie zmení na prenosový uzol a útočný uzol. Základné užitočné zaťaženie otvorí poslucháč na porte 40860 a nadviaže odchádzajúcu komunikáciu s adresou 85.234.91[.]247:1337, z ktorej prijíma operačné príkazy.

Ešte v decembri 2025 boli infekcie sledované k proxy IP adresám prenajatým od čínskej spoločnosti IPIDEA, poskytovateľa, ktorý sa propaguje ako popredná svetová IP proxy služba s viac ako 6,1 miliónmi denne obnovených IP adries a 69 000 novými adresami každý deň. 27. decembra spoločnosť IPIDEA nasadila bezpečnostnú aktualizáciu blokujúcu prístup k lokálnym sieťam a citlivým portom po tom, čo sa objavili dôkazy o tom, že útočníci sa tunelovali cez proxy softvér nainštalovaný zákazníkmi, aby sa dostali k interným zariadeniam.

Analytici označili odhalenie vytvorené touto technikou za bezprecedentné, pričom milióny spotrebiteľských systémov sa priamo ocitli v ceste automatizovanému zneužívaniu.

Monetizácia: Proxy, užitočné zaťaženie a platené útoky

Finančné motívy spoločnosti Kimwolf boli od začiatku jasné. Prevádzkovatelia agresívne komercializovali svoju infraštruktúru a premieňali kompromitované zariadenia na ziskové aktíva prostredníctvom viacerých kanálov:

  • Predaj rezidenčného proxy prístupu, inzerovaný už od 0,20 USD za GB alebo približne 1 400 USD mesačne za neobmedzenú šírku pásma, čo prilákalo viacero proxy služieb k skorému prijatiu.
  • Nasadenie sekundárnych monetizačných SDK, najmä Plainproxies Byteconnect SDK, ktoré smeruje platené proxy úlohy z príkazového servera do infikovaných zariadení prostredníctvom 119 vyhradených relay serverov.
  • Zneužívanie botnetu na operácie kybernetickej kriminality vrátane rozsiahlych DDoS aktivít a pozorovaných kampaní zameraných na zneužívanie prihlasovacích údajov proti službám IMAP a populárnym online platformám.

Prítomnosť vopred infikovaných televíznych boxov a integrácia komerčných SDK na zdieľanie šírky pásma silne naznačuje prehlbujúcu sa spoluprácu medzi prevádzkovateľmi botnetov a segmentmi proxy ekonomiky.

Obranné opatrenia a znižovanie rizika

Na zmiernenie podobných hrozieb je potrebná koordinovaná akcia na úrovni poskytovateľov služieb aj koncových používateľov:

  • Proxy siete by mali blokovať prevádzku smerujúcu do adresných rozsahov RFC 1918, čím by sa zabránilo externým zákazníkom v prístupe k interným súkromným sieťam, kde sa nachádzajú spotrebiteľské zariadenia.
  • Organizácie a jednotlivci musia zakázať alebo obmedziť neoverený prístup k ADB v systémoch Android, najmä v prípade vstavaných zariadení a zariadení typu IoT, ktoré sa často dodávajú s nezabezpečenými predvolenými nastaveniami.

Bez týchto kontrol budú rezidenčné proxy ekosystémy naďalej poskytovať ideálne krytie pre rozsiahle nasadenie malvéru a rozširovanie botnetov.

Trendy

Najviac videné

Načítava...