Кимволф ботнет
Стручњаци за сајбер безбедност открили су масовни дистрибуирани ботнет за ускраћивање услуге (DDoS) познат као Kimwolf, који је већ обухватио преко 1,8 милиона заражених уређаја. То укључује телевизоре, сет-топ боксове и таблете са Андроид оперативним системом. Рана истраживања указују на потенцијалну везу са озлоглашеним ботнетом AISURU. Откриће истиче све већу софистицираност злонамерног софтвера усмереног на IoT и наглашава критичну потребу за будношћу у заштити повезаних уређаја.
Преглед садржаја
Анатомија Кимволфа
Кимволф је изграђен коришћењем Native Development Kit-а (NDK) и комбинује вишеструке могућности поред традиционалних DDoS напада. Кључне карактеристике укључују:
- Прослеђивање преко проксија
- Приступ обрнутом шкољком
- Функције управљања датотекама
Злонамерни софтвер ботнета је дизајниран да покреће један процес по уређају, дешифрује уграђене домене команде и контроле (C2), решава C2 IP адресу користећи DNS преко TLS-а и извршава команде примљене од својих оператера.
Рекордна скала и активност
За само три дана, од 19. до 22. новембра 2025. године, Кимволф је наводно издао 1,7 милијарди DDoS команди за напад. Један од његових C2 домена, 14emeliaterracewestroxburyma02132[.]su, чак се накратко појавио међу 100 најбољих домена на Cloudflare-у, привремено надмашивши Google.
Примарне мете инфекције укључују кућне ТВ пријемнике као што су:
- ТВ бокс, Супербокс, HiDPTA Андроид
- П200, Кс96К, КСБОКС, СмартТВ, МКС10
Географски гледано, инфекције су концентрисане у Бразилу, Индији, САД, Аргентини, Јужној Африци и Филипинима, иако тачан начин ширења остаје нејасан.
Еволуција и отпорност
Кимволф показује напредну прилагодљивост. Његови C2 домени су укинути најмање три пута у децембру 2025. године, што је навело оператере да усвоје Ethereum Name Service (ENS) домене како би ојачали инфраструктуру. Недавне верзије малвера укључују EtherHiding, технику која преузима стварну C2 IP адресу путем паметних уговора и трансформише је кроз XOR операције, што знатно отежава уклањање.
Повезивање са AISURU-ом и заједничком инфраструктуром
Докази повезују Кимволфа са ботнетом AISURU, познатим по рекордним DDoS нападима:
- Оба ботнета су коегзистирала на истим зараженим уређајима између септембра и новембра 2025. године.
- Сличности у APK пакетима и сертификатима за потписивање кода („Џон Динглберт Дингленат VIII ВанСак Смит“) указују на заједничко порекло развоја.
- Сервер за преузимање (93.95.112[.]59) је потврдио присуство скрипти које референцирају и Kimwolf и AISURU APK-ове.
Ова веза указује на то да једна хакерска група потенцијално управља оба ботнета како би максимизирала досег и избегла откривање.
Могућности напада и монетизација
Кимволф подржава 13 различитих DDoS метода преко UDP, TCP и ICMP протокола, циљајући земље укључујући САД, Кину, Француску, Немачку и Канаду. Занимљиво је да је преко 96% издатих команди усмерено на коришћење заражених чворова као прокси сервиса, што указује на снажан профитни мотив.
Додатне компоненте распоређене на угроженим уређајима укључују:
- Командни клијент базиран на Rust-у – гради прокси мрежу
- ByteConnect SDK – монетизује IoT саобраћај за програмере и власнике уређаја
- TLS енкрипција обезбеђује сву комуникацију, док су осетљиви подаци о C2 серверима и DNS резолверима такође шифровани, повећавајући оперативну прикривеност.
Шири контекст џиновских ботнета
Од појаве Mirai-ја 2016. године, гигантски IoT ботнети су значајно еволуирали. Ране верзије су првенствено циљале широкопојасне рутере и камере, али модерни ботнети попут Badbox-а, Bigpanzi-ја, Vo1d-а и Kimwolf-а све се више фокусирају на паметне телевизоре и ТВ боксове, што одражава промену интересовања нападача ка потрошачким уређајима са великим пропусним опсегом.
