Kimwolf Botnät
Cybersäkerhetsexperter har avslöjat ett massivt distribuerat denial-of-service (DDoS) botnät som kallas Kimwolf, vilket redan har registrerat över 1,8 miljoner infekterade enheter. Dessa inkluderar Android-baserade TV-apparater, set-top-boxar och surfplattor. Tidiga undersökningar tyder på en potentiell koppling till det ökända AISURU botnätet. Upptäckten belyser den ökande sofistikeringen av IoT-riktad skadlig kod och understryker det kritiska behovet av vaksamhet för att skydda uppkopplade enheter.
Innehållsförteckning
Kimwolfs anatomi
Kimwolf är byggt med hjälp av Native Development Kit (NDK) och kombinerar flera funktioner utöver traditionella DDoS-attacker. Viktiga funktioner inkluderar:
- Proxyvidarebefordran
- Omvänd skalåtkomst
- Filhanteringsfunktioner
Botnätets skadliga programvara är utformad för att köra en enda process per enhet, dekryptera inbäddade kommando-och-kontrolldomäner (C2), matcha C2-IP-adressen med DNS-över-TLS och exekvera kommandon som tas emot från dess operatörer.
Rekordbrytande skala och aktivitet
På bara tre dagar, från 19–22 november 2025, utfärdade Kimwolf enligt uppgift 1,7 miljarder DDoS-attackkommandon. En av dess C2-domäner, 14emeliaterracewestroxburyma02132[.]su, dök till och med kort upp bland Cloudflares 100 bästa domäner och överträffade därmed tillfälligt Google.
Primära infektionsmål inkluderar TV-boxar i bostäder, såsom:
- TV-BOX, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Geografiskt sett är infektionerna koncentrerade till Brasilien, Indien, USA, Argentina, Sydafrika och Filippinerna, även om den exakta spridningsmetoden fortfarande är oklar.
Evolution och motståndskraft
Kimwolf uppvisar avancerad anpassningsförmåga. Dess C2-domäner har tagits ner minst tre gånger i december 2025, vilket har fått operatörerna att använda Ethereum Name Service (ENS)-domäner för att stärka infrastrukturen. Nya versioner av skadlig kod innehåller EtherHiding, en teknik som hämtar den faktiska C2-IP-adressen via smarta kontrakt och omvandlar den genom XOR-operationer, vilket gör nedtagningar betydligt svårare.
Anslutning till AISURU och delad infrastruktur
Bevis kopplar Kimwolf till AISURU-botnätet, känt för rekordstora DDoS-attacker:
- Båda botnäten samexisterade på samma infekterade enheter mellan september och november 2025.
- Likheter i APK-paket och kodsigneringscertifikat ('John Dinglebert Dinglenut VIII VanSack Smith') tyder på ett delat utvecklingsursprung.
- En nedladdningsserver (93.95.112[.]59) bekräftade förekomsten av skript som refererar till både Kimwolf- och AISURU-APK:er.
Detta samband antyder att en enda hackergrupp potentiellt driver båda botnäten för att maximera räckvidden och undvika upptäckt.
Attackfunktioner och intäktsgenerering
Kimwolf stöder 13 olika DDoS-metoder över UDP, TCP och ICMP, och riktar sig mot länder som USA, Kina, Frankrike, Tyskland och Kanada. Intressant nog är över 96 % av utfärdade kommandon riktade mot att använda infekterade noder som proxytjänster, vilket indikerar ett starkt vinstmotiv.
Ytterligare komponenter som distribuerats till komprometterade enheter inkluderar:
- Rustbaserad kommandoklient – bygger ett proxynätverk
- ByteConnect SDK – tjänar pengar på IoT-trafik för utvecklare och enhetsägare
- TLS-kryptering säkrar all kommunikation, medan känsliga data om C2-servrar och DNS-resolvers också krypteras, vilket ökar den operativa stealthen.
Det bredare sammanhanget för gigantiska botnät
Sedan Mirais framväxt 2016 har gigantiska IoT-botnät utvecklats avsevärt. Tidiga versioner riktade sig främst mot bredbandsroutrar och kameror, men moderna botnät som Badbox, Bigpanzi, Vo1d och Kimwolf fokuserar alltmer på smarta TV-apparater och TV-boxar, vilket återspeglar angriparnas skiftande intresse mot konsumentenheter med hög bandbredd.
