Kimwolf Botnet
Strokovnjaki za kibernetsko varnost so odkrili obsežno porazdeljeno botnetno omrežje za zavrnitev storitve (DDoS), znano kot Kimwolf, ki je okužilo že več kot 1,8 milijona naprav. Med njimi so televizorji, sprejemniki in tablični računalniki z operacijskim sistemom Android. Prve preiskave kažejo na morebitno povezavo z zloglasnim botnetom AISURU. Odkritje poudarja vse večjo sofisticiranost zlonamerne programske opreme, usmerjene v internet stvari, in poudarja kritično potrebo po budnosti pri zaščiti povezanih naprav.
Kazalo
Anatomija Kimwolfa
Kimwolf je zgrajen z uporabo kompleta za razvoj Native Development Kit (NDK) in združuje več zmogljivosti, ki presegajo tradicionalne napade DDoS. Ključne značilnosti vključujejo:
- Posredovanje posrednika
- Dostop do obratne lupine
- Funkcije upravljanja datotek
Zlonamerna programska oprema botneta je zasnovana tako, da izvaja en sam proces na napravo, dešifrira vgrajene domene Command-and-Control (C2), razreši IP C2 z uporabo DNS-over-TLS in izvaja ukaze, prejete od svojih operaterjev.
Rekordni obseg in aktivnost
V samo treh dneh, med 19. in 22. novembrom 2025, je Kimwolf po poročanjih izdal 1,7 milijarde ukazov za DDoS napade. Ena od njegovih domen C2, 14emeliaterracewestroxburyma02132[.]su, se je celo na kratko pojavila med 100 najboljšimi domenami Cloudflare in začasno prehitela Google.
Primarne tarče okužbe vključujejo stanovanjske televizijske sprejemnike, kot so:
- TV BOX, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Geografsko so okužbe skoncentrirane v Braziliji, Indiji, ZDA, Argentini, Južni Afriki in na Filipinih, čeprav natančen način širjenja ostaja nejasen.
Evolucija in odpornost
Kimwolf dokazuje napredno prilagodljivost. Njegove domene C2 so bile decembra 2025 vsaj trikrat onemogočene, zaradi česar so operaterji začeli uporabljati domene Ethereum Name Service (ENS) za okrepitev infrastrukture. Nedavne različice zlonamerne programske opreme vključujejo EtherHiding, tehniko, ki prek pametnih pogodb pridobi dejanski IP naslov C2 in ga pretvori z operacijami XOR, zaradi česar je onemogočanje veliko težje.
Povezava z AISURU in skupno infrastrukturo
Dokazi povezujejo Kimwolf z botnetom AISURU, znanim po rekordnih DDoS napadih:
- Oba botneta sta sobivala na istih okuženih napravah med septembrom in novembrom 2025.
- Podobnosti v paketih APK in potrdilih za podpisovanje kode (»John Dinglebert Dinglenut VIII VanSack Smith«) kažejo na skupni razvojni izvor.
- Strežnik za prenos (93.95.112[.]59) je potrdil prisotnost skriptov, ki se sklicujejo na APK-je Kimwolf in AISURU.
Ta povezava namiguje na eno samo hekersko skupino, ki potencialno upravlja oba botneta, da bi povečala doseg in se izognila odkrivanju.
Zmogljivosti napada in monetizacija
Kimwolf podpira 13 različnih metod DDoS prek UDP, TCP in ICMP, ciljajo pa na države, vključno z ZDA, Kitajsko, Francijo, Nemčijo in Kanado. Zanimivo je, da je več kot 96 % izdanih ukazov namenjenih uporabi okuženih vozlišč kot proxy storitev, kar kaže na močan dobičkonosni motiv.
Dodatne komponente, nameščene na ogroženih napravah, vključujejo:
- Odjemalec ukazov, ki temelji na Rustu – gradi proxy omrežje
- ByteConnect SDK – monetizira promet interneta stvari za razvijalce in lastnike naprav
- Šifriranje TLS varuje vso komunikacijo, hkrati pa so šifrirani tudi občutljivi podatki o strežnikih C2 in DNS-razreševalcih, kar povečuje operativno prikritost.
Širši kontekst velikanskih botnetov
Od pojava Miraija leta 2016 so se velikanski botneti interneta stvari znatno razvili. Zgodnje različice so bile namenjene predvsem širokopasovnim usmerjevalnikom in kameram, sodobni botneti, kot so Badbox, Bigpanzi, Vo1d in Kimwolf, pa se vse bolj osredotočajo na pametne televizorje in TV-sprejemnike, kar odraža preusmeritev zanimanja napadalcev k potrošniškim napravam z visoko pasovno širino.
