Malware ng KadNap

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong umuusbong na strain ng malware na kilala bilang KadNap, na pangunahing nagta-target sa mga router ng Asus at nirerekrut ang mga ito sa isang botnet na idinisenyo upang mag-proxy ng malisyosong trapiko sa internet. Unang naobserbahan sa kalikasan noong Agosto 2025, ang malware ay nakahawa na ng mahigit 14,000 device sa buong mundo. Ipinapahiwatig ng pagsusuri na mahigit 60% ng mga nakompromisong system ay matatagpuan sa Estados Unidos, habang ang mas maliliit na kumpol ng mga impeksyon ay natukoy sa Taiwan, Hong Kong, Russia, United Kingdom, Australia, Brazil, France, Italy, at Spain.

Bagama't tila ang mga Asus router ang pangunahing target, ipinapakita ng mga imbestigasyon na pinalawak ng mga operator sa likod ng KadNap ang kanilang mga pagsisikap upang maisama ang mas malawak na hanay ng mga edge networking device. Ang pagpapalawak na ito ay nagmumungkahi ng isang sinasadyang pagtatangka na i-maximize ang laki at katatagan ng imprastraktura ng botnet.

Pagtatago ng Peer-to-Peer sa Pamamagitan ng Teknolohiya ng Kademlia

Isang natatanging katangian ng operasyon ng KadNap ay ang pag-asa nito sa isang binagong implementasyon ng Kademlia Distributed Hash Table (DHT) protocol. Ang protocol na ito ay isinama sa isang peer-to-peer architecture na nagtatago sa lokasyon ng imprastraktura ng botnet sa pamamagitan ng pagtatago ng mga command system sa loob ng mga distributed node.

Ang mga nakompromisong device ay nakikipag-ugnayan sa pamamagitan ng DHT network upang tumuklas at kumonekta sa mga Command-and-Control (C2) server. Sa pamamagitan ng pagpapakalat ng komunikasyon sa isang desentralisadong kapaligiran, naiiwasan ng malware ang pag-asa sa iisang punto ng imprastraktura, na lubos na nagpapahirap sa tradisyonal na mga pagsisikap sa pag-detect at pag-alis. Epektibong pinagsasama ng pamamaraan ang malisyosong trapiko sa lehitimong peer-to-peer na aktibidad ng network, na ginagawang mas mahirap ang pagsubaybay at pagkagambala para sa mga tagapagtanggol.

Mekanismo ng Impeksyon at Istratehiya sa Pagtitiyaga

Ang kadena ng impeksyon ay nagsisimula sa isang shell script na pinangalanang aic.sh, na dina-download mula sa isang command server na naka-host sa IP address na 212.104.141.140. Sinisimulan ng script na ito ang proseso ng pagsasama ng nakompromisong device sa peer-to-peer ecosystem ng botnet.

Nagtatatag ang script ng persistence sa pamamagitan ng paglikha ng naka-iskedyul na cron job na kumukuha ng parehong script sa ika-55 minuto ng bawat oras. Sa bawat pag-download nito, pinapalitan ang pangalan ng script sa '.asusrouter' at isinasagawa. Kapag na-secure na ang persistence, nagda-download ang script ng isang malisyosong ELF binary, pinapalitan ang pangalan nito ng kad, at pinapatakbo ito, na epektibong nagde-deploy ng KadNap malware payload. Ang malware ay ginawa upang gumana sa mga device na gumagamit ng parehong ARM at MIPS processors, na nagbibigay-daan dito upang makompromiso ang malawak na hanay ng mga arkitektura ng router.

Pagtuklas ng Kapwa Batay sa Oras at Koordinasyon ng Network

Ang KadNap ay mayroong mekanismo para sa pag-synchronize ng aktibidad sa buong desentralisadong network nito. Kumokonekta ang malware sa isang Network Time Protocol (NTP) server upang makuha ang kasalukuyang oras ng system at pagsamahin ito sa impormasyon ng uptime ng nahawaang device. Ginagamit ang mga value na ito upang bumuo ng hash na tumutulong sa nahawaang device na mahanap ang mga kapantay sa loob ng distributed network.

Ang prosesong ito ay nagbibigay-daan sa mga nakompromisong sistema na tumuklas ng iba pang mga node, kumuha ng mga tagubilin, at mag-download ng mga karagdagang malisyosong file nang hindi umaasa sa isang sentralisadong istruktura ng utos. Ang mga sumusuportang script tulad ng fwr.sh at /tmp/.sose ay nagsasagawa rin ng mga karagdagang gawain, kabilang ang pag-disable sa port 22, ang karaniwang TCP port na ginagamit ng Secure Shell (SSH), at pagkuha ng mga listahan ng mga kumbinasyon ng address ng C2 server at port na ginagamit para sa karagdagang komunikasyon.

Komersyalisasyon ng Botnet sa pamamagitan ng mga Serbisyo ng Proxy

Kapag nakompromiso na ang mga router, isinasama ang mga ito sa isang komersyal na proxy network na ibinebenta sa ilalim ng pangalang Doppelgänger sa pamamagitan ng website na doppelganger.shop. Tinatasa ng mga mananaliksik sa seguridad na ang serbisyong ito ay isang rebranded na bersyon ng Faceless, isang proxy platform na dating iniuugnay sa TheMoon malware.

Ayon sa mga materyal na pang-promosyon na inilathala ng serbisyo, ang network ay nagbibigay ng residential proxy access sa mahigit 50 bansa at nag-aanunsyo ng '100% anonymity' para sa mga gumagamit. Ipinahihiwatig ng ebidensya na ang platform ay inilunsad noong Mayo o Hunyo 2025. Hinahati-hati ng imprastraktura ang mga nahawaang device ayon sa uri at modelo, dahil hindi lahat ng nakompromisong device ay nakikipag-ugnayan sa bawat command server. Ang segmentasyong ito ay nagpapahiwatig ng isang nakabalangkas at nasusukat na diskarte sa pamamahala ng botnet.

Naobserbahan na ang proxy network na sinasamantala ng maraming aktor ng banta. Gayunpaman, nananatiling mahirap matukoy ang pagkakakilanlan dahil ang mga router na kasangkot sa network ay minsan ay sabay-sabay na nahawaan ng karagdagang pamilya ng malware, na nagtatakip kung aling aktor ang responsable para sa mga partikular na malisyosong aktibidad.

Mga Depensibong Hakbang para sa mga May-ari ng Router

Ang pagsikat ng KadNap ay nagpapakita ng lumalaking panganib na dulot ng mga hindi maayos na secured na edge device sa loob ng bahay at maliliit na opisina. Maaaring mabawasan nang malaki ng mga network defender at indibidwal na user ang pagkakalantad sa pamamagitan ng pag-aampon ng ilang mga kasanayan sa seguridad:

• Panatilihing naka-update ang mga router at networking device gamit ang mga pinakabagong firmware at security update.
• I-reboot ang mga device nang pana-panahon upang linisin ang mga pansamantalang mapaminsalang proseso kung naaangkop.
• Palitan ang mga default na kredensyal ng malakas at natatanging mga password.
• Paghigpitan at i-secure ang mga administratibong interface ng pamamahala.
• Itigil ang paggamit at palitan ang mga router na wala nang bisa at hindi na nakakatanggap ng mga update sa seguridad mula sa vendor.

Isang Desentralisadong Botnet na Dinisenyo para sa Patagong Paglihim

Naiiba ang KadNap sa maraming tradisyonal na botnet na sumusuporta sa mga serbisyo ng anonymous proxy sa pamamagitan ng paggamit nito ng desentralisadong peer-to-peer na arkitektura. Sa pamamagitan ng paggamit ng Kademlia DHT protocol, ipinamamahagi ng botnet ang kontrol sa mga nahawaang device sa halip na umasa sa mga madaling matukoy na sentralisadong server.

Ang arkitekturang ito ay nagbibigay sa mga operator ng matibay na mga channel ng komunikasyon na mas mahirap matukoy, harangin, o buwagin. Malinaw ang estratehikong layunin: mapanatili ang pagpapatuloy ng operasyon, maiwasan ang pagsubaybay sa seguridad, at gawing kumplikado ang mga pagsisikap sa pagtugon sa depensa para sa mga cybersecurity team.