Kimwolf Botnet Campaign

భద్రతా పరిశోధకులు కిమ్‌వోల్ఫ్ అని పిలువబడే భారీ ఆండ్రాయిడ్-కేంద్రీకృత బాట్‌నెట్‌ను కనుగొన్నారు, ఇది నివాస ప్రాక్సీ నెట్‌వర్క్‌లను దోపిడీ చేయడం ద్వారా రెండు మిలియన్లకు పైగా పరికరాలను రాజీ చేసింది. ఈ మాల్వేర్ రోజువారీ వినియోగదారు హార్డ్‌వేర్‌ను గ్లోబల్ అటాక్ ప్లాట్‌ఫామ్‌గా మారుస్తుంది, హానికరమైన ట్రాఫిక్‌ను నిశ్శబ్దంగా రూట్ చేస్తుంది మరియు పెద్ద ఎత్తున పంపిణీ చేయబడిన తిరస్కరణ-సేవా (DDoS) కార్యకలాపాలను ప్రారంభిస్తుంది. పరిశీలనలు ప్రతి వారం దాదాపు 12 మిలియన్ల ప్రత్యేక IP చిరునామాలను చూపుతాయి, ఇది ఈ ఆపరేషన్ యొక్క అసాధారణ పరిధిని హైలైట్ చేస్తుంది.

AISURU కి మూలాలు, పరిణామం మరియు లింకులు

కిమ్‌వోల్ఫ్‌ను మొదటిసారిగా డిసెంబర్ 2025 లో బహిరంగంగా విశ్లేషించారు, పరిశోధకులు AISURU అనే మరో బోట్‌నెట్‌తో బలమైన సాంకేతిక మరియు మౌలిక సదుపాయాల సంబంధాలను గుర్తించారు. ఆధారాలు ప్రకారం కిమ్‌వోల్ఫ్ కనీసం ఆగస్టు 2025 నుండి చురుకుగా పనిచేస్తోంది మరియు AISURU యొక్క ఆండ్రాయిడ్ ఆధారిత పరిణామాన్ని సూచిస్తుంది. గత సంవత్సరం చివరిలో గమనించిన అనేక రికార్డు స్థాయి DDoS ప్రచారాలకు ఈ బోట్‌నెట్ శక్తినిచ్చిందని పరిశోధకులు ఎక్కువగా నమ్ముతున్నారు.

గ్లోబల్ ఇన్ఫెక్షన్ ఫుట్‌ప్రింట్ మరియు లక్ష్య పరికరాలు

కిమ్‌వోల్ఫ్‌కు ప్రపంచవ్యాప్తంగా విస్తృతమైన ఉనికి ఉన్నప్పటికీ, వియత్నాం, బ్రెజిల్, భారతదేశం మరియు సౌదీ అరేబియాలో ఇన్‌ఫెక్షన్లు ఎక్కువగా ఉన్నాయి. రాజీపడిన సిస్టమ్‌లలో గణనీయమైన భాగం అనధికారిక ఆండ్రాయిడ్ స్మార్ట్ టీవీలు మరియు సెట్-టాప్ బాక్స్‌లు, వీటిలో చాలా వరకు అసురక్షిత డిఫాల్ట్ కాన్ఫిగరేషన్‌లతో రవాణా చేయబడతాయి.

కనెక్ట్ చేయబడిన పరికరాల్లో కనీసం 67% ప్రామాణీకరించబడని Android డీబగ్ బ్రిడ్జ్ (ADB) సేవకు గురవుతాయి, తద్వారా అవి రిమోట్ కంట్రోల్‌కు తెరిచి ఉంటాయి. ఈ ఉత్పత్తులలో చాలా వరకు వినియోగదారులను చేరుకోవడానికి ముందు ప్రాక్సీ-సంబంధిత సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ కిట్‌లతో (SDKలు) ప్రీలోడ్ చేయబడి ఉంటాయని, వాటిని ప్రాక్సీ పర్యావరణ వ్యవస్థల్లోకి సమర్థవంతంగా నమోదు చేస్తాయని పరిశోధకులు అనుమానిస్తున్నారు, ఇవి తరువాత మాల్వేర్ కోసం డెలివరీ ఛానెల్‌లుగా మారుతాయి.

కిమ్‌వోల్ఫ్ ఎలా వ్యాప్తి చెందుతుంది మరియు నియంత్రణను నిర్వహిస్తుంది

బహిర్గత ADB సేవలను అమలు చేసే Android పరికరాల కోసం ఇంటర్నెట్‌ను స్కాన్ చేయడానికి Kimwolf ఆపరేటర్లు పెద్ద నివాస ప్రాక్సీ నెట్‌వర్క్‌లపై ఆధారపడతారు. గుర్తించిన తర్వాత, మాల్వేర్ రిమోట్‌గా ఇన్‌స్టాల్ చేయబడుతుంది, పరికరాన్ని ట్రాఫిక్ రిలే మరియు దాడి నోడ్‌గా మారుస్తుంది. కోర్ పేలోడ్ పోర్ట్ 40860లో లిజనర్‌ను తెరుస్తుంది మరియు 85.234.91[.]247:1337తో అవుట్‌బౌండ్ కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది, దాని నుండి అది కార్యాచరణ ఆదేశాలను అందుకుంటుంది.

డిసెంబర్ 2025 నాటికి, చైనాకు చెందిన IPIDEA నుండి అద్దెకు తీసుకున్న ప్రాక్సీ IP చిరునామాల ద్వారా ఇన్ఫెక్షన్లు గుర్తించబడ్డాయి, ఈ ప్రొవైడర్ ప్రతిరోజూ 6.1 మిలియన్లకు పైగా రోజువారీ రిఫ్రెష్ చేయబడిన IPలు మరియు 69,000 కొత్త చిరునామాలతో ప్రపంచంలోని ప్రముఖ IP ప్రాక్సీ సేవగా తనను తాను ప్రకటించుకుంటుంది. డిసెంబర్ 27న, దాడి చేసేవారు అంతర్గత పరికరాలను చేరుకోవడానికి కస్టమర్-ఇన్‌స్టాల్ చేసిన ప్రాక్సీ సాఫ్ట్‌వేర్ ద్వారా సొరంగం చేస్తున్నట్లు ఆధారాలు వెలువడిన తర్వాత, స్థానిక నెట్‌వర్క్‌లు మరియు సున్నితమైన పోర్ట్‌లకు యాక్సెస్‌ను నిరోధించే భద్రతా నవీకరణను IPIDEA అమలు చేసింది.

ఈ సాంకేతికత సృష్టించిన బహిర్గతం విశ్లేషకులచే అపూర్వమైనదిగా వర్ణించబడింది, ఇది మిలియన్ల కొద్దీ వినియోగదారు వ్యవస్థలను నేరుగా ఆటోమేటెడ్ దోపిడీ మార్గంలో ఉంచింది.

మానిటైజేషన్: ప్రాక్సీలు, పేలోడ్‌లు మరియు చెల్లింపు దాడులు

ప్రారంభం నుండే, కిమ్‌వోల్ఫ్ ఆర్థిక ఉద్దేశ్యాలు స్పష్టంగా ఉన్నాయి. ఆపరేటర్లు తమ మౌలిక సదుపాయాలను దూకుడుగా వాణిజ్యీకరించారు, రాజీపడిన పరికరాలను బహుళ మార్గాల ద్వారా లాభదాయక ఆస్తులుగా మార్చారు:

• రెసిడెన్షియల్ ప్రాక్సీ యాక్సెస్ అమ్మకం, GBకి $0.20 లేదా అపరిమిత బ్యాండ్‌విడ్త్ కోసం నెలకు $1,400 అని చౌకగా ప్రకటించబడింది, ఇది బహుళ ప్రాక్సీ సేవల నుండి ముందస్తు స్వీకరణను ఆకర్షించింది.
• సెకండరీ మానిటైజేషన్ SDKల విస్తరణ, ముఖ్యంగా Plainproxies Byteconnect SDK, ఇది కమాండ్ సర్వర్ నుండి 119 డెడికేటెడ్ రిలే సర్వర్‌ల ద్వారా ఇన్‌ఫెక్ట్ చేయబడిన పరికరాలకు చెల్లింపు ప్రాక్సీ పనులను రూట్ చేస్తుంది.
• సైబర్ క్రైమ్ కార్యకలాపాల కోసం బోట్‌నెట్ దుర్వినియోగం, పెద్ద ఎత్తున DDoS కార్యకలాపాలు మరియు IMAP సేవలు మరియు ప్రముఖ ఆన్‌లైన్ ప్లాట్‌ఫారమ్‌లకు వ్యతిరేకంగా ఆధారాలను నింపే ప్రచారాలను గమనించడం.

ముందస్తుగా ఇన్ఫెక్షన్ ఉన్న టీవీ బాక్సుల ఉనికి మరియు వాణిజ్య బ్యాండ్‌విడ్త్-షేరింగ్ SDKల ఏకీకరణ బోట్‌నెట్ ఆపరేటర్లు మరియు ప్రాక్సీ ఆర్థిక వ్యవస్థ యొక్క విభాగాల మధ్య లోతైన సహకారాన్ని బలంగా సూచిస్తున్నాయి.

రక్షణ చర్యలు మరియు ప్రమాద తగ్గింపు

ఇలాంటి ముప్పులను తగ్గించడానికి, సేవా ప్రదాతలు మరియు తుది-వినియోగదారు వాతావరణాలలో సమన్వయంతో కూడిన చర్య అవసరం:

• ప్రాక్సీ నెట్‌వర్క్‌లు RFC 1918 చిరునామా శ్రేణులకు ఉద్దేశించిన ట్రాఫిక్‌ను నిరోధించాలి, బాహ్య కస్టమర్‌లు వినియోగదారు పరికరాలు నివసించే అంతర్గత ప్రైవేట్ నెట్‌వర్క్‌లను చేరుకోకుండా నిరోధించాలి.
• సంస్థలు మరియు వ్యక్తులు Android సిస్టమ్‌లలో, ముఖ్యంగా అసురక్షిత డిఫాల్ట్‌లతో తరచుగా రవాణా చేయబడే ఎంబెడెడ్ మరియు IoT-శైలి పరికరాలలో ప్రామాణీకరించని ADB యాక్సెస్‌ను నిలిపివేయాలి లేదా పరిమితం చేయాలి.

ఈ నియంత్రణలు లేకుండా, నివాస ప్రాక్సీ పర్యావరణ వ్యవస్థలు పెద్ద ఎత్తున మాల్వేర్ విస్తరణ మరియు బోట్‌నెట్ విస్తరణకు ఆదర్శవంతమైన కవర్‌ను అందిస్తూనే ఉంటాయి.