KadNap-skadlig programvara
Cybersäkerhetsforskare har identifierat en nyligen framväxande skadlig kodstam som kallas KadNap, som främst riktar sig mot Asus-routrar och rekryterar dem till ett botnät utformat för att överföra skadlig internettrafik. Skadlig kod observerades först i det vilda i augusti 2025 och har redan infekterat mer än 14 000 enheter världen över. Analyser visar att över 60 % av de komprometterade systemen finns i USA, medan mindre kluster av infektioner har upptäckts i Taiwan, Hongkong, Ryssland, Storbritannien, Australien, Brasilien, Frankrike, Italien och Spanien.
Även om Asus-routrar verkar vara de primära målen, visar undersökningar att operatörerna bakom KadNap har utökat sina ansträngningar till att omfatta ett bredare utbud av edge-nätverksenheter. Denna expansion tyder på ett avsiktligt försök att maximera botnätinfrastrukturens storlek och motståndskraft.
Innehållsförteckning
Peer-to-Peer-döljning genom Kademlia-teknik
En utmärkande egenskap hos KadNap-operationen är dess beroende av en modifierad implementering av Kademlia Distributed Hash Table (DHT)-protokollet. Detta protokoll är integrerat i en peer-to-peer-arkitektur som döljer platsen för botnätets infrastruktur genom att dölja kommandosystem inom distribuerade noder.
Komprometterade enheter kommunicerar via DHT-nätverket för att upptäcka och ansluta till Command-and-Control (C2)-servrar. Genom att sprida kommunikationen över en decentraliserad miljö undviker skadlig kod att vara beroende av en enda infrastrukturpunkt, vilket avsevärt komplicerar traditionella upptäckts- och borttagningsinsatser. Metoden blandar effektivt skadlig trafik med legitim peer-to-peer-nätverksaktivitet, vilket gör övervakning och störningar betydligt svårare för försvarare.
Infektionsmekanism och persistensstrategi
Infektionskedjan börjar med ett shellskript med namnet aic.sh, som laddas ner från en kommandoserver med IP-adressen 212.104.141.140. Detta skript initierar processen att integrera den komprometterade enheten i botnätets peer-to-peer-ekosystem.
Skriptet etablerar persistens genom att skapa ett schemalagt cron-jobb som hämtar samma skript vid 55-minutersmarkeringen i varje timme. Varje gång det laddas ner byter skriptet namn till '.asusrouter' och körs. När persistensen är säkrad laddar skriptet ner en skadlig ELF-binärfil, byter namn på den till kad och kör den, vilket effektivt distribuerar KadNap-nyttolasten. Skadlig kod har konstruerats för att fungera på enheter som använder både ARM- och MIPS-processorer, vilket gör det möjligt för den att kompromettera ett brett spektrum av routerarkitekturer.
Tidsbaserad peer discovery och nätverkskoordinering
KadNap har en mekanism för att synkronisera aktivitet över sitt decentraliserade nätverk. Skadlig programvara ansluter till en NTP-server (Network Time Protocol) för att hämta aktuell systemtid och kombinerar den med den infekterade enhetens drifttidsinformation. Dessa värden används för att generera en hash som hjälper den infekterade enheten att hitta andra enheter inom det distribuerade nätverket.
Denna process gör det möjligt för komprometterade system att upptäcka andra noder, få instruktioner och ladda ner ytterligare skadliga filer utan att förlita sig på en centraliserad kommandostruktur. Stödskript som fwr.sh och /tmp/.sose utför också ytterligare uppgifter, inklusive att inaktivera port 22, standard TCP-porten som används av Secure Shell (SSH), och extrahera listor över C2-serveradress och portkombinationer som används för vidare kommunikation.
Kommersialisering av botnätet genom proxytjänster
När routrar har komprometterats integreras de i ett kommersiellt proxynätverk som marknadsförs under namnet Doppelgänger via webbplatsen doppelganger.shop. Säkerhetsforskare bedömer att denna tjänst är en omdöpt version av Faceless, en proxyplattform som tidigare förknippats med skadlig programvara TheMoon.
Enligt marknadsföringsmaterial som publicerats av tjänsten tillhandahåller nätverket proxy-åtkomst för bostäder i fler än 50 länder och marknadsför "100 % anonymitet" för användare. Det finns bevis som tyder på att plattformen lanserades runt maj eller juni 2025. Infrastrukturen segmenterar infekterade enheter efter typ och modell, eftersom inte alla komprometterade enheter kommunicerar med alla kommandoservrar. Denna segmentering indikerar en strukturerad och skalbar strategi för botnäthantering.
Proxynätverket har redan observerats utnyttjas av flera hotaktörer. Att tillskriva orsaken är dock fortfarande svårt eftersom routrar som är involverade i nätverket ibland samtidigt infekteras med ytterligare familjer av skadlig kod, vilket döljer vilken aktör som är ansvarig för specifika skadliga aktiviteter.
Försvarsåtgärder för routerägare
KadNaps framväxt belyser den växande risk som dåligt säkrade edge-enheter utgör i både hemmiljöer och små kontorsmiljöer. Nätverksskyddare och enskilda användare kan avsevärt minska exponeringen genom att anta flera säkerhetsrutiner:
- Underhåll routrar och nätverksenheter med den senaste firmware och säkerhetsuppdateringarna.
- Starta om enheter regelbundet för att rensa tillfälliga skadliga processer när det är tillämpligt.
- Ersätt standardinloggningsuppgifter med starka, unika lösenord.
- Begränsa och säkra administrativa gränssnitt.
- Pensionera och byt ut routrar som har nått slutet av sin livscykel och inte längre får säkerhetsuppdateringar från leverantörer.
Ett decentraliserat botnät designat för smygande
KadNap skiljer sig från många traditionella botnät som stöder anonyma proxytjänster genom sin användning av en decentraliserad peer-to-peer-arkitektur. Genom att utnyttja Kademlia DHT-protokollet distribuerar botnätet kontrollen över infekterade enheter snarare än att förlita sig på lätt identifierbara centraliserade servrar.
Denna arkitektur ger operatörer robusta kommunikationskanaler som är betydligt svårare att upptäcka, blockera eller avveckla. Det strategiska målet är tydligt: att upprätthålla operativ kontinuitet, undvika säkerhetsövervakning och komplicera defensiva insatser för cybersäkerhetsteam.
