Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Botnets Kimwolf Botnet Campaign

Kimwolf Botnet Campaign

Nga MezoBotnets
Përkthe në:

Studiuesit e sigurisë kanë zbuluar një botnet masiv të fokusuar në Android, të njohur si Kimwolf, i cili ka kompromentuar mbi dy milionë pajisje duke shfrytëzuar rrjetet proxy rezidenciale. Malware transformon harduerin e përditshëm të konsumatorëve në një platformë sulmi global, duke drejtuar në heshtje trafikun keqdashës dhe duke mundësuar operacione të shpërndara të mohimit të shërbimit (DDoS) në shkallë të gjerë. Vëzhgimet tregojnë afërsisht 12 milionë adresa IP unike çdo javë, duke nxjerrë në pah fushëveprimin e jashtëzakonshëm të këtij operacioni.

Origjina, Evolucioni dhe Lidhjet me AISURU

Kimwolf u analizua publikisht për herë të parë në dhjetor 2025 , kur hetuesit identifikuan lidhje të forta teknike dhe infrastrukturore me një tjetër botnet të quajtur AISURU. Provat sugjerojnë se Kimwolf ka qenë aktiv që të paktën nga gushti 2025 dhe përfaqëson një evolucion të AISURU të bazuar në Android. Studiuesit besojnë gjithnjë e më shumë se ky botnet ka mundësuar disa fushata DDoS rekordthyese të vëzhguara drejt fundit të vitit të kaluar.

Gjurmët Globale të Infeksionit dhe Pajisjet e Synuara

Edhe pse Kimwolf ka një prani në të gjithë botën, infeksionet janë përqendruar kryesisht në Vietnam, Brazil, Indi dhe Arabinë Saudite. Një pjesë e konsiderueshme e sistemeve të kompromentuara janë televizorë inteligjentë dhe dekoderë jozyrtarë Android, shumë prej të cilëve vijnë me konfigurime të paracaktuara të pasigurta.

Të paktën 67% e pajisjeve të lidhura ekspozojnë një shërbim të paautorizuar të Android Debug Bridge (ADB), duke i lënë ato të hapura për kontroll në distancë. Hetuesit dyshojnë se shumë nga këto produkte janë të parangarkuara me komplete zhvillimi softuerësh (SDK) të lidhura me serverin proxy përpara se të arrijnë tek konsumatorët, duke i regjistruar ata në ekosisteme proxy që më vonë bëhen kanale shpërndarjeje për programet keqdashëse.

Si përhapet dhe ruan kontrollin Kimwolf

Operatorët e Kimwolf mbështeten në rrjete të mëdha rezidenciale proxy për të skanuar internetin për pajisje Android që përdorin shërbime të ekspozuara ADB. Pasi identifikohet, programi keqdashës instalohet nga distanca, duke e shndërruar pajisjen në një stacion trafiku dhe nyje sulmi. Ngarkesa kryesore hap një dëgjues në portin 40860 dhe krijon komunikim dalës me 85.234.91[.]247:1337, nga i cili merr komanda operacionale.

Kohët e fundit, në dhjetor 2025, infeksionet u gjurmuan në adresat IP proxy të marra me qira nga IPIDEA me seli në Kinë, një ofrues që e reklamon veten si shërbimi kryesor i proxy IP në botë me mbi 6.1 milion IP të rifreskuara çdo ditë dhe 69,000 adresa të reja çdo ditë. Më 27 dhjetor, IPIDEA vendosi një përditësim sigurie që bllokonte aksesin në rrjetet lokale dhe portat e ndjeshme pasi dolën prova se sulmuesit po tunelonin përmes softuerit proxy të instaluar nga klientët për të arritur pajisjet e brendshme.

Ekspozimi i krijuar nga kjo teknikë u përshkrua nga analistët si i pashembullt, duke vendosur miliona sisteme konsumatorësh direkt në rrugën e shfrytëzimit të automatizuar.

Monetizimi: Proksi, Ngarkesa dhe Sulme me Pagesë

Që në fillim, motivet financiare të Kimwolf ishin të qarta. Operatorët e komercializuan në mënyrë agresive infrastrukturën e tyre, duke i shndërruar pajisjet e kompromentuara në asete që gjenerojnë fitim përmes kanaleve të shumëfishta:

  • Shitja e aksesit me proxy për banesa, e reklamuar me një çmim të lirë prej 0.20 dollarësh për GB ose rreth 1,400 dollarë në muaj për bandwidth të pakufizuar, gjë që tërhoqi miratimin e hershëm nga shërbime të shumta proxy.
  • Vendosja e SDK-ve dytësore të monetizimit, më i njohuri është SDK-ja Plainproxies Byteconnect, e cila drejton detyrat e paguara të proxy-t nga një server komandash në pajisjet e infektuara nëpërmjet 119 serverave të dedikuar të transmetimit.
  • Abuzimi i botnet-it për operacione të krimit kibernetik, duke përfshirë aktivitetin DDoS në shkallë të gjerë dhe fushatat e vëzhguara të mbushjes së kredencialeve kundër shërbimeve IMAP dhe platformave të njohura online.

Prania e kutive televizive të para-infektuara dhe integrimi i SDK-ve komerciale për ndarjen e bandwidth-it sugjerojnë fuqimisht një bashkëpunim të thelluar midis operatorëve të botnet-eve dhe segmenteve të ekonomisë proxy.

Masat mbrojtëse dhe zvogëlimi i rrezikut

Për të zbutur kërcënime të ngjashme, kërkohet veprim i koordinuar si në mjediset e ofruesve të shërbimeve ashtu edhe në ato të përdoruesve fundorë:

  • Rrjetet proxy duhet të bllokojnë trafikun e destinuar për diapazonin e adresave RFC 1918, duke i penguar klientët e jashtëm të arrijnë në rrjetet private të brendshme ku ndodhen pajisjet e konsumatorëve.
  • Organizatat dhe individët duhet të çaktivizojnë ose kufizojnë aksesin e paautorizuar të ADB në sistemet Android, veçanërisht pajisjet e integruara dhe ato në stilin IoT që shpesh vijnë me cilësime të pasigurta.

Pa këto kontrolle, ekosistemet rezidenciale të proxy-ve do të vazhdojnë të ofrojnë mbulim ideal për vendosjen e malware-ve në shkallë të gjerë dhe zgjerimin e botnet-eve.

Në trend

Më e shikuara

Po ngarkohet...