Rabattoffert för flera licenser
Hotdatabas Botnät Kimwolf Botnet-kampanj

Kimwolf Botnet-kampanj

Med Mezo år Botnät
Översätt till:

Säkerhetsforskare har upptäckt ett massivt Android-fokuserat botnät som kallas Kimwolf, vilket har komprometterat över två miljoner enheter genom att utnyttja proxynätverk i hemmet. Skadlig programvara omvandlar vanlig konsumenthårdvara till en global attackplattform, som i tysthet dirigerar skadlig trafik och möjliggör storskaliga distribuerade denial-of-service (DDoS)-operationer. Observationer visar ungefär 12 miljoner unika IP-adresser varje vecka, vilket belyser den extraordinära omfattningen av denna operation.

Ursprung, utveckling och länkar till AISURU

Kimwolf analyserades först offentligt i december 2025 , då utredare identifierade starka tekniska och infrastrukturella kopplingar till ett annat botnät som heter AISURU. Det finns bevis som tyder på att Kimwolf har varit aktivt sedan åtminstone augusti 2025 och representerar en Android-baserad utveckling av AISURU. Forskare tror alltmer att detta botnät drev flera rekordbrytande DDoS-kampanjer som observerades mot slutet av förra året.

Globalt infektionsavtryck och riktade enheter

Även om Kimwolf har en global närvaro är infektionerna starkt koncentrerade till Vietnam, Brasilien, Indien och Saudiarabien. En betydande del av de komprometterade systemen är inofficiella Android smart-TV-apparater och digitalboxar, av vilka många levereras med osäkra standardkonfigurationer.

Minst 67 % av anslutna enheter exponerar en oautentiserad Android Debug Bridge (ADB)-tjänst, vilket gör dem öppna för fjärrstyrning. Utredare misstänker att många av dessa produkter är förinstallerade med proxyrelaterade programvaruutvecklingskit (SDK:er) innan de når konsumenterna, vilket i praktiken registrerar dem i proxy-ekosystem som senare blir leveranskanaler för skadlig kod.

Hur Kimwolf sprider och bibehåller kontroll

Kimwolfs operatörer förlitar sig på stora proxynätverk för bostäder för att skanna internet efter Android-enheter som kör exponerade ADB-tjänster. När skadlig kod identifierats installeras den på distans, vilket förvandlar enheten till en trafikrelä och attacknod. Kärnnyttolasten öppnar en lyssnare på port 40860 och upprättar utgående kommunikation med 85.234.91[.]247:1337, från vilken den tar emot operativa kommandon.

Så sent som i december 2025 spårades infektioner till proxy-IP-adresser som hyrts från Kina-baserade IPIDEA, en leverantör som marknadsför sig som världens ledande IP-proxytjänst med över 6,1 miljoner dagligen uppdaterade IP-adresser och 69 000 nya adresser varje dag. Den 27 december distribuerade IPIDEA en säkerhetsuppdatering som blockerade åtkomst till lokala nätverk och känsliga portar efter att bevis framkommit för att angripare tunnlade genom kundinstallerad proxyprogramvara för att nå interna enheter.

Exponeringen som skapades av denna teknik beskrevs av analytiker som exempellös, vilket placerade miljontals konsumentsystem direkt i vägen för automatiserad utnyttjande.

Monetisering: Proxyservrar, nyttolaster och betalda attacker

Från början var Kimwolfs ekonomiska motiv tydliga. Operatörerna kommersialiserade aggressivt sin infrastruktur och förvandlade komprometterade enheter till vinstgenererande tillgångar genom flera kanaler:

  • Försäljning av proxyåtkomst för bostäder, annonserad så billigt som 0,20 dollar per GB eller cirka 1 400 dollar per månad för obegränsad bandbredd, vilket lockade tidig adoption från flera proxytjänster.
  • Implementering av sekundära SDK:er för intäktsgenerering, framför allt Plainproxies Byteconnect SDK, som dirigerar betalda proxyuppgifter från en kommandoserver till infekterade enheter via 119 dedikerade reläservrar.
  • Missbruk av botnätet för cyberbrottslighet, inklusive storskalig DDoS-aktivitet och observerade kampanjer för att stjäla autentiseringsuppgifter mot IMAP-tjänster och populära onlineplattformar.

Förekomsten av förinfekterade TV-boxar och integrationen av kommersiella SDK:er för bandbreddsdelning tyder starkt på ett fördjupat samarbete mellan botnätsoperatörer och segment av proxyekonomin.

Försvarsåtgärder och riskreducering

För att mildra liknande hot krävs samordnade åtgärder mellan både tjänsteleverantörer och slutanvändarmiljöer:

  • Proxynätverk bör blockera trafik som är avsedd för RFC 1918-adressintervall, vilket förhindrar externa kunder från att nå interna privata nätverk där konsumentenheter finns.
  • Organisationer och individer måste inaktivera eller begränsa oautentiserad ADB-åtkomst på Android-system, särskilt inbyggda enheter och IoT-liknande enheter som ofta levereras med osäkra standardinställningar.

Utan dessa kontroller kommer proxy-ekosystem för bostäder att fortsätta att ge ett idealiskt skydd för storskalig distribution av skadlig kod och expansion av botnät.

Trendigt

Mest sedda

Läser in...