Kimwolf Botnet Campaign

นักวิจัยด้านความปลอดภัยได้ค้นพบเครือข่ายบอทเน็ตขนาดใหญ่ที่มุ่งเป้าไปที่ระบบแอนดรอยด์ ชื่อว่า Kimwolf ซึ่งได้เจาะระบบอุปกรณ์ไปแล้วกว่าสองล้านเครื่องโดยใช้ประโยชน์จากเครือข่ายพร็อกซีในบ้านพักอาศัย มัลแวร์นี้เปลี่ยนฮาร์ดแวร์ของผู้บริโภคทั่วไปให้กลายเป็นแพลตฟอร์มโจมตีระดับโลก โดยแอบส่งต่อทราฟฟิกที่เป็นอันตรายและเปิดใช้งานการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ขนาดใหญ่ จากการสังเกตการณ์พบว่ามีที่อยู่ IP ที่ไม่ซ้ำกันประมาณ 12 ล้านรายการทุกสัปดาห์ ซึ่งแสดงให้เห็นถึงขอบเขตที่กว้างขวางอย่างเหลือเชื่อของการปฏิบัติการนี้

ที่มา วิวัฒนาการ และความเชื่อมโยงกับ AISURU

Kimwolf ถูกวิเคราะห์อย่างเปิดเผยครั้งแรกใน เดือนธันวาคม 2025 เมื่อนักวิจัยพบความเชื่อมโยงทางเทคนิคและโครงสร้างพื้นฐานที่แข็งแกร่งกับบอทเน็ตอีกตัวหนึ่งชื่อ AISURU หลักฐานชี้ให้เห็นว่า Kimwolf มีการใช้งานมาอย่างน้อยตั้งแต่เดือนสิงหาคม 2025 และเป็นวิวัฒนาการของ AISURU บนระบบแอนดรอยด์ นักวิจัยเชื่อมากขึ้นเรื่อยๆ ว่าบอทเน็ตนี้เป็นผู้ขับเคลื่อนแคมเปญ DDoS ที่ทำลายสถิติหลายครั้งที่พบในช่วงปลายปีที่ผ่านมา

ร่องรอยการติดเชื้อทั่วโลกและอุปกรณ์ที่ใช้ในการรักษา

แม้ว่า Kimwolf จะแพร่ระบาดไปทั่วโลก แต่การติดเชื้อส่วนใหญ่กระจุกตัวอยู่ในเวียดนาม บราซิล อินเดีย และซาอุดีอาระเบีย ระบบที่ได้รับผลกระทบส่วนใหญ่เป็นสมาร์ททีวีและกล่องรับสัญญาณ Android ที่ไม่ใช่ของแท้ ซึ่งหลายเครื่องมาพร้อมกับการตั้งค่าเริ่มต้นที่ไม่ปลอดภัย

อย่างน้อย 67% ของอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตมีบริการ Android Debug Bridge (ADB) ที่ไม่ได้รับการตรวจสอบสิทธิ์ ทำให้ถูกควบคุมจากระยะไกลได้ นักวิจัยสงสัยว่าผลิตภัณฑ์เหล่านี้จำนวนมากถูกติดตั้งชุดพัฒนาซอฟต์แวร์ (SDK) ที่เกี่ยวข้องกับพร็อกซีไว้ล่วงหน้าก่อนถึงมือผู้บริโภค ซึ่งเป็นการเข้าร่วมระบบนิเวศของพร็อกซีที่ต่อมากลายเป็นช่องทางในการแพร่กระจายมัลแวร์

คิมวูล์ฟแพร่กระจายและรักษาอำนาจควบคุมได้อย่างไร

ผู้ดำเนินการของ Kimwolf อาศัยเครือข่ายพร็อกซีที่อยู่อาศัยขนาดใหญ่ในการสแกนอินเทอร์เน็ตเพื่อค้นหาอุปกรณ์ Android ที่ใช้งานบริการ ADB ที่เปิดเผย เมื่อพบแล้ว มัลแวร์จะถูกติดตั้งจากระยะไกล เปลี่ยนอุปกรณ์นั้นให้กลายเป็นตัวส่งต่อข้อมูลและโหนดโจมตี เพย์โหลดหลักจะเปิดตัวรับฟังบนพอร์ต 40860 และสร้างการสื่อสารขาออกกับ 85.234.91[.]247:1337 ซึ่งจะรับคำสั่งการทำงาน

เมื่อเดือนธันวาคม 2025 ที่ผ่านมา มีการตรวจสอบพบว่าการติดเชื้อมาจากที่อยู่ IP พร็อกซีที่เช่าจาก IPIDEA บริษัทในประเทศจีน ซึ่งโฆษณาตัวเองว่าเป็นผู้ให้บริการ IP พร็อกซีชั้นนำของโลก โดยมี IP ที่อัปเดตทุกวันกว่า 6.1 ล้านรายการ และที่อยู่ใหม่ 69,000 รายการต่อวัน เมื่อวันที่ 27 ธันวาคม IPIDEA ได้ปล่อยอัปเดตความปลอดภัยเพื่อบล็อกการเข้าถึงเครือข่ายภายในและพอร์ตที่สำคัญ หลังจากพบหลักฐานว่าผู้โจมตีใช้ซอฟต์แวร์พร็อกซีที่ลูกค้าติดตั้งเพื่อเข้าถึงอุปกรณ์ภายใน

นักวิเคราะห์ระบุว่า การเปิดเผยข้อมูลที่เกิดจากเทคนิคนี้เป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อน โดยทำให้ระบบของผู้บริโภคนับล้านตกอยู่ในเส้นทางของการถูกโจมตีโดยอัตโนมัติโดยตรง

การสร้างรายได้: พร็อกซี, เพย์โหลด และการโจมตีแบบเสียค่าใช้จ่าย

ตั้งแต่เริ่มแรก แรงจูงใจทางการเงินของ Kimwolf นั้นชัดเจน ผู้ดำเนินการได้ทำการตลาดโครงสร้างพื้นฐานของตนอย่างแข็งขัน โดยเปลี่ยนอุปกรณ์ที่ถูกบุกรุกให้กลายเป็นสินทรัพย์ที่สร้างผลกำไรผ่านช่องทางต่างๆ มากมาย:

• การจำหน่ายบริการพร็อกซีสำหรับที่อยู่อาศัย ซึ่งโฆษณาว่ามีราคาถูกเพียง 0.20 ดอลลาร์ต่อกิกะไบต์ หรือประมาณ 1,400 ดอลลาร์ต่อเดือนสำหรับแบนด์วิดท์ไม่จำกัด ทำให้มีผู้ให้บริการพร็อกซีหลายรายเริ่มใช้งานในช่วงแรก
• การใช้งาน SDK สร้างรายได้เสริม โดยเฉพาะอย่างยิ่ง SDK Plainproxies Byteconnect ซึ่งทำหน้าที่ส่งต่อภารกิจพร็อกซีแบบชำระเงินจากเซิร์ฟเวอร์คำสั่งไปยังอุปกรณ์ที่ติดมัลแวร์ผ่านเซิร์ฟเวอร์รีเลย์เฉพาะจำนวน 119 เครื่อง
• มีการนำบอทเน็ตไปใช้ในทางที่ผิดเพื่อก่ออาชญากรรมทางไซเบอร์ รวมถึงการโจมตีแบบ DDoS ขนาดใหญ่ และการตรวจพบการโจมตีโดยใช้ข้อมูลประจำตัวปลอม (credential stuffing) ต่อบริการ IMAP และแพลตฟอร์มออนไลน์ยอดนิยม

การมีอยู่ของกล่องโทรทัศน์ที่ติดไวรัสมาก่อนและการบูรณาการ SDK สำหรับการแบ่งปันแบนด์วิดท์เชิงพาณิชย์ บ่งชี้อย่างชัดเจนถึงความร่วมมือที่ลึกซึ้งยิ่งขึ้นระหว่างผู้ดำเนินการบอทเน็ตและกลุ่มต่างๆ ในระบบเศรษฐกิจพร็อกซี

มาตรการป้องกันและการลดความเสี่ยง

เพื่อลดผลกระทบจากภัยคุกคามที่คล้ายคลึงกัน จำเป็นต้องมีการประสานงานกันระหว่างผู้ให้บริการและสภาพแวดล้อมของผู้ใช้ปลายทาง:

• เครือข่ายพร็อกซีควรบล็อกทราฟฟิกที่มุ่งไปยังช่วงที่อยู่ตามมาตรฐาน RFC 1918 เพื่อป้องกันไม่ให้ลูกค้าภายนอกเข้าถึงเครือข่ายส่วนตัวภายในซึ่งเป็นที่ตั้งของอุปกรณ์ของผู้บริโภค
• องค์กรและบุคคลทั่วไปต้องปิดใช้งานหรือจำกัดการเข้าถึง ADB ที่ไม่ได้รับอนุญาตบนระบบ Android โดยเฉพาะอย่างยิ่งอุปกรณ์ฝังตัวและอุปกรณ์ IoT ที่มักมาพร้อมกับการตั้งค่าเริ่มต้นที่ไม่ปลอดภัย

หากปราศจากการควบคุมเหล่านี้ ระบบนิเวศพร็อกซีที่อยู่อาศัยจะยังคงเป็นแหล่งหลบซ่อนที่เหมาะสมสำหรับการแพร่กระจายมัลแวร์และการขยายเครือข่ายบอทเน็ตในวงกว้างต่อไป