Kimwolf Botnet
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบเครือข่ายบอทเน็ตโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ขนาดใหญ่ที่รู้จักกันในชื่อ Kimwolf ซึ่งได้แพร่ระบาดไปยังอุปกรณ์ต่างๆ แล้วกว่า 1.8 ล้านเครื่อง อุปกรณ์เหล่านั้นรวมถึงโทรทัศน์ระบบ Android กล่องรับสัญญาณ และแท็บเล็ต การตรวจสอบเบื้องต้นชี้ให้เห็นถึงความเชื่อมโยงที่อาจเกิดขึ้นกับเครือข่ายบอทเน็ต AISURU ที่มีชื่อเสียงในทางไม่ดี การค้นพบนี้เน้นย้ำถึงความซับซ้อนที่เพิ่มขึ้นของมัลแวร์ที่มุ่งเป้าไปที่อุปกรณ์ IoT และเน้นย้ำถึงความจำเป็นอย่างยิ่งในการเฝ้าระวังเพื่อปกป้องอุปกรณ์ที่เชื่อมต่อ
สารบัญ
กายวิภาคของคิมวูล์ฟ
Kimwolf สร้างขึ้นโดยใช้ Native Development Kit (NDK) และผสานรวมความสามารถหลายอย่างที่เหนือกว่าการโจมตี DDoS แบบดั้งเดิม คุณสมบัติหลักได้แก่:
- การส่งต่อพร็อกซี
- การเข้าถึงเชลล์ย้อนกลับ
- ฟังก์ชันการจัดการไฟล์
มัลแวร์ของบอทเน็ตถูกออกแบบมาให้ทำงานเพียงกระบวนการเดียวต่ออุปกรณ์ ถอดรหัสโดเมนควบคุมและสั่งการ (C2) ที่ฝังอยู่ ค้นหา IP ของ C2 โดยใช้ DNS-over-TLS และดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุม
ขนาดและกิจกรรมที่ทำลายสถิติ
ภายในเวลาเพียงสามวัน ตั้งแต่วันที่ 19-22 พฤศจิกายน 2025 มีรายงานว่า Kimwolf ได้ส่งคำสั่งโจมตี DDoS มากถึง 1.7 พันล้านคำสั่ง โดเมนควบคุมและสั่งการ (C2) หนึ่งโดเมนของพวกเขา คือ 14emeliaterracewestroxburyma02132[.]su ยังเคยติดอันดับ 100 โดเมนยอดนิยมของ Cloudflare แซงหน้า Google ไปชั่วคราวด้วย
เป้าหมายหลักของการติดเชื้อ ได้แก่ กล่องรับสัญญาณทีวีในบ้าน เช่น:
- ทีวีบ็อกซ์, ซูเปอร์บ็อกซ์, ไฮดีพีทีแอนดรอยด์
- P200, X96Q, XBOX, สมาร์ททีวี, MX10
ในเชิงภูมิศาสตร์ การติดเชื้อกระจุกตัวอยู่ในบราซิล อินเดีย สหรัฐอเมริกา อาร์เจนตินา แอฟริกาใต้ และฟิลิปปินส์ แม้ว่าวิธีการแพร่กระจายที่แน่ชัดยังคงไม่เป็นที่ทราบแน่ชัดก็ตาม
วิวัฒนาการและความยืดหยุ่น
Kimwolf แสดงให้เห็นถึงความสามารถในการปรับตัวขั้นสูง โดเมน C2 ของมันถูกปิดไปแล้วอย่างน้อยสามครั้งในเดือนธันวาคม 2025 ทำให้ผู้ดำเนินการต้องนำโดเมน Ethereum Name Service (ENS) มาใช้เพื่อเสริมความแข็งแกร่งของโครงสร้างพื้นฐาน เวอร์ชันล่าสุดของมัลแวร์ได้รวมเอา EtherHiding ซึ่งเป็นเทคนิคที่ดึง IP ของ C2 จริงผ่านสัญญาอัจฉริยะและแปลงมันผ่านการดำเนินการ XOR ทำให้การปิดระบบทำได้ยากขึ้นมาก
การเชื่อมต่อกับ AISURU และโครงสร้างพื้นฐานที่ใช้ร่วมกัน
หลักฐานเชื่อมโยง Kimwolf กับบอทเน็ต AISURU ซึ่งเป็นที่รู้จักจากการโจมตี DDoS ครั้งใหญ่ที่สุดเป็นประวัติการณ์:
- บอทเน็ตทั้งสองชนิดอยู่ร่วมกันบนอุปกรณ์ที่ติดไวรัสเครื่องเดียวกันระหว่างเดือนกันยายนถึงพฤศจิกายน ปี 2025
- ความคล้ายคลึงกันในแพ็กเกจ APK และใบรับรองการลงนามรหัส ('John Dinglebert Dinglenut VIII VanSack Smith') บ่งชี้ว่ามีการพัฒนาจากแหล่งเดียวกัน
- เซิร์ฟเวอร์ดาวน์โหลด (93.95.112[.]59) ยืนยันว่ามีสคริปต์ที่อ้างอิงถึง APK ของ Kimwolf และ AISURU อยู่
ความสัมพันธ์นี้บ่งชี้ว่าอาจมีกลุ่มแฮกเกอร์กลุ่มเดียวที่ดำเนินการบอทเน็ตทั้งสองเพื่อเพิ่มขอบเขตการเข้าถึงและหลีกเลี่ยงการตรวจจับ
ความสามารถในการโจมตีและการสร้างรายได้
Kimwolf รองรับวิธีการโจมตีแบบ DDoS 13 วิธีที่แตกต่างกัน ผ่านโปรโตคอล UDP, TCP และ ICMP โดยมีเป้าหมายไปยังประเทศต่างๆ เช่น สหรัฐอเมริกา จีน ฝรั่งเศส เยอรมนี และแคนาดา ที่น่าสนใจคือ คำสั่งที่ออกไปกว่า 96% มุ่งเป้าไปที่การใช้โหนดที่ติดไวรัสเป็นบริการพร็อกซี ซึ่งบ่งชี้ถึงแรงจูงใจในการแสวงหาผลกำไรอย่างชัดเจน
ส่วนประกอบเพิ่มเติมที่ติดตั้งในอุปกรณ์ที่ถูกบุกรุก ได้แก่:
- ไคลเอนต์คำสั่งที่เขียนด้วย Rust – สร้างเครือข่ายพร็อกซี
- ByteConnect SDK – สร้างรายได้จากปริมาณการรับส่งข้อมูล IoT สำหรับนักพัฒนาและเจ้าของอุปกรณ์
- การเข้ารหัส TLS ช่วยรักษาความปลอดภัยในการสื่อสารทั้งหมด ขณะที่ข้อมูลสำคัญเกี่ยวกับเซิร์ฟเวอร์ C2 และตัวแก้ไข DNS ก็ได้รับการเข้ารหัสด้วยเช่นกัน ซึ่งช่วยเพิ่มความลับในการปฏิบัติงาน
บริบทที่กว้างขึ้นของบอทเน็ตขนาดใหญ่
นับตั้งแต่การปรากฏตัวของ Mirai ในปี 2016 บอทเน็ต IoT ขนาดใหญ่ได้พัฒนาขึ้นอย่างมาก รุ่นแรกๆ มุ่งเป้าไปที่เราเตอร์บรอดแบนด์และกล้องเป็นหลัก แต่บอทเน็ตสมัยใหม่ เช่น Badbox, Bigpanzi, Vo1d และ Kimwolf กำลังมุ่งเน้นไปที่สมาร์ททีวีและกล่องรับสัญญาณทีวีมากขึ้น ซึ่งสะท้อนให้เห็นถึงความสนใจที่เปลี่ยนไปของผู้โจมตีที่หันมาสนใจอุปกรณ์สำหรับผู้บริโภคที่มีแบนด์วิดท์สูงมากขึ้น
