Kimwolf Botnet

Ekspertët e sigurisë kibernetike kanë zbuluar një botnet masiv të shpërndarë të mohimit të shërbimit (DDoS) të njohur si Kimwolf, i cili tashmë ka regjistruar mbi 1.8 milion pajisje të infektuara. Këto përfshijnë televizorë, dekoderë dhe tableta me bazë Android. Hetimet e hershme sugjerojnë një lidhje të mundshme me botnetin famëkeq AISURU. Zbulimi nxjerr në pah sofistikimin në rritje të malware-it të synuar ndaj IoT dhe nënvizon nevojën kritike për vigjilencë në mbrojtjen e pajisjeve të lidhura.

Anatomia e Kimwolf

Kimwolf është ndërtuar duke përdorur Native Development Kit (NDK) dhe kombinon aftësi të shumta përtej sulmeve tradicionale DDoS. Karakteristikat kryesore përfshijnë:

• Përcjellja e proxy-t
• Qasje e kundërt e shell-it
• Funksionet e menaxhimit të skedarëve

Malware-i i botnet-it është projektuar për të ekzekutuar një proces të vetëm për pajisje, për të dekriptuar domenet e integruara Command-and-Control (C2), për të zgjidhur IP-në C2 duke përdorur DNS-mbi-TLS dhe për të ekzekutuar komandat e marra nga operatorët e tij.

Shkallë dhe aktivitet rekordthyes

Vetëm në tre ditë, nga 19 deri në 22 nëntor 2025, Kimwolf thuhet se lëshoi 1.7 miliardë komanda sulmi DDoS. Një nga domenet e tij C2, 14emeliaterracewestroxburyma02132[.]su, madje u shfaq shkurtimisht midis 100 domeneve kryesore të Cloudflare, duke tejkaluar përkohësisht Google.

Objektivat kryesorë të infeksionit përfshijnë televizorët rezidencialë si:

• TV BOX, SuperBOX, HiDPTAndroid
• P200, X96Q, XBOX, SmartTV, MX10

Gjeografikisht, infeksionet janë të përqendruara në Brazil, Indi, SHBA, Argjentinë, Afrikën e Jugut dhe Filipine, megjithëse metoda e saktë e përhapjes mbetet e paqartë.

Evolucioni dhe Rezistenca

Kimwolf demonstron përshtatshmëri të përparuar. Domenet e tij C2 janë rrëzuar të paktën tre herë në dhjetor 2025, duke i shtyrë operatorët të përdorin domenet Ethereum Name Service (ENS) për të forcuar infrastrukturën. Versionet e fundit të malware përfshijnë EtherHiding, një teknikë që merr IP-në aktuale C2 nëpërmjet kontratave inteligjente dhe e transformon atë nëpërmjet operacioneve XOR, duke i bërë rrëzimet shumë më të vështira.

Lidhja me AISURU dhe Infrastrukturën e Përbashkët

Provat e lidhin Kimwolf me botnetin AISURU, i njohur për sulmet rekord DDoS:

• Të dy botnet-et bashkëjetuan në të njëjtat pajisje të infektuara midis shtatorit dhe nëntorit 2025.
• Ngjashmëritë në paketat APK dhe certifikatat e nënshkrimit të kodit ('John Dinglebert Dinglenut VIII VanSack Smith') sugjerojnë një origjinë të përbashkët zhvillimi.
• Një server shkarkues (93.95.112[.]59) konfirmoi praninë e skripteve që i referoheshin APK-ve të Kimwolf dhe AISURU.

Kjo marrëdhënie lë të kuptohet se një grup i vetëm hakerash potencialisht operon të dy botnet-et për të maksimizuar shtrirjen dhe për të shmangur zbulimin.

Aftësitë e Sulmit dhe Monetizimi

Kimwolf mbështet 13 metoda të dallueshme DDoS mbi UDP, TCP dhe ICMP, duke synuar vende duke përfshirë SHBA-në, Kinën, Francën, Gjermaninë dhe Kanadanë. Është interesante se mbi 96% e komandave të lëshuara drejtohen në përdorimin e nyjeve të infektuara si shërbime proxy, duke treguar një motiv të fortë fitimi.

Komponentë shtesë të vendosur në pajisjet e kompromentuara përfshijnë:

• Klienti i Komandës i bazuar në Rust – ndërton një rrjet proxy
• ByteConnect SDK – monetizon trafikun e IoT për zhvilluesit dhe pronarët e pajisjeve
• Enkriptimi TLS siguron të gjitha komunikimet, ndërsa të dhënat e ndjeshme rreth serverëve C2 dhe zgjidhësve DNS janë gjithashtu të enkriptuara, duke rritur fshehtësinë operative.

Konteksti më i gjerë i Botnet-eve gjigante

Që nga shfaqja e Mirai në vitin 2016, botnet-et gjigante të IoT kanë evoluar ndjeshëm. Versionet e hershme synonin kryesisht routerat dhe kamerat me brez të gjerë, por botnet-et moderne si Badbox, Bigpanzi, Vo1d dhe Kimwolf po përqendrohen gjithnjë e më shumë në televizorët inteligjentë dhe kutitë televizive, duke reflektuar interesat e ndryshueshme të sulmuesve drejt pajisjeve të konsumatorëve me brez të gjerë.