Multi-License Discount Quote
Banta sa Database Mga botnet Kimwolf Botnet

Kimwolf Botnet

Sa pamamagitan ng Mezo sa Mga botnet
Isalin To:

Natuklasan ng mga eksperto sa cybersecurity ang isang napakalaking distributed denial-of-service (DDoS) botnet na kilala bilang Kimwolf, na nakapagtala na ng mahigit 1.8 milyong nahawaang device. Kabilang dito ang mga Android-based TV, set-top box, at tablet. Iminumungkahi ng mga unang imbestigasyon ang isang potensyal na koneksyon sa kilalang-kilalang AISURU botnet. Itinatampok ng pagtuklas na ito ang lumalaking sopistikasyon ng IoT-targeted malware at binibigyang-diin ang kritikal na pangangailangan para sa pagbabantay sa pagprotekta sa mga konektadong device.

Anatomiya ni Kimwolf

Ang Kimwolf ay binuo gamit ang Native Development Kit (NDK) at pinagsasama ang maraming kakayahan na higit pa sa tradisyonal na mga pag-atake ng DDoS. Kabilang sa mga pangunahing tampok ang:

  • Pagpapasa ng proxy
  • Baliktarin ang pag-access sa shell
  • Mga tungkulin sa pamamahala ng file

Ang malware ng botnet ay dinisenyo upang magpatakbo ng isang proseso sa bawat device, i-decrypt ang mga naka-embed na Command-and-Control (C2) domain, i-resolve ang C2 IP gamit ang DNS-over-TLS, at isagawa ang mga command na natanggap mula sa mga operator nito.

Laki at Aktibidad na Nagbabasag ng Rekord

Sa loob lamang ng tatlong araw, mula Nobyembre 19–22, 2025, naiulat na naglabas ang Kimwolf ng 1.7 bilyong utos sa pag-atake ng DDoS. Isa sa mga C2 domain nito, ang 14emeliaterracewestroxburyma02132[.]su, ay sandaling lumabas sa nangungunang 100 domain ng Cloudflare, pansamantalang nalampasan ang Google.

Kabilang sa mga pangunahing target ng impeksyon ang mga residential TV box tulad ng:

  • TV BOX, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Sa heograpiya, ang mga impeksyon ay laganap sa Brazil, India, US, Argentina, South Africa, at Pilipinas, bagama't nananatiling hindi malinaw ang eksaktong paraan ng pagkalat.

Ebolusyon at Katatagan

Nagpapakita ang Kimwolf ng makabagong kakayahang umangkop. Ang mga C2 domain nito ay tinanggal nang hindi bababa sa tatlong beses noong Disyembre 2025, na nag-udyok sa mga operator na gamitin ang mga Ethereum Name Service (ENS) domain upang palakasin ang imprastraktura. Ang mga bagong bersyon ng malware ay kinabibilangan ng EtherHiding, isang pamamaraan na kumukuha ng aktwal na C2 IP sa pamamagitan ng mga smart contract at binabago ito sa pamamagitan ng mga operasyon ng XOR, na ginagawang mas mahirap ang mga takedown.

Koneksyon sa AISURU at Ibinahaging Imprastraktura

May ebidensyang nag-uugnay kay Kimwolf sa AISURU botnet, na kilala sa mga record-breaking na DDoS attack:

  • Ang parehong botnet ay sabay na ginamit sa parehong mga nahawaang device sa pagitan ng Setyembre at Nobyembre 2025.
  • Ang mga pagkakatulad sa mga APK package at code signing certificate ('John Dinglebert Dinglenut VIII VanSack Smith') ay nagmumungkahi ng isang pinagsasaluhang pinagmulan ng development.
  • Kinumpirma ng isang downloader server (93.95.112[.]59) ang pagkakaroon ng mga script na tumutukoy sa parehong Kimwolf at AISURU APK.

Ang ugnayang ito ay nagpapahiwatig na iisang grupo ng hacker ang posibleng nagpapatakbo ng parehong botnet upang mapakinabangan ang abot at maiwasan ang pagtuklas.

Mga Kakayahan sa Pag-atake at Pag-monetize

Sinusuportahan ng Kimwolf ang 13 natatanging pamamaraan ng DDoS sa pamamagitan ng UDP, TCP, at ICMP, na tinatarget ang mga bansang kabilang ang US, China, France, Germany, at Canada. Kapansin-pansin, mahigit 96% ng mga inisyu na utos ay nakadirekta sa paggamit ng mga nahawaang node bilang mga proxy service, na nagpapahiwatig ng malakas na motibo sa kita.

Kabilang sa mga karagdagang bahagi na na-deploy sa mga nakompromisong device ang:

  • Rust-based Command Client – bumubuo ng proxy network
  • ByteConnect SDK – pinagkakakitaan ang trapiko ng IoT para sa mga developer at may-ari ng device
  • Sinisiguro ng TLS encryption ang lahat ng komunikasyon, habang ang sensitibong data tungkol sa mga C2 server at DNS resolver ay naka-encrypt din, na nagpapataas ng operational stealth.

Ang Mas Malawak na Konteksto ng mga Giant Botnet

Simula nang lumitaw ang Mirai noong 2016, ang mga higanteng IoT botnet ay umunlad nang malaki. Pangunahing tinarget ng mga naunang bersyon ang mga broadband router at camera, ngunit ang mga modernong botnet tulad ng Badbox, Bigpanzi, Vo1d, at Kimwolf ay lalong nakatuon sa mga smart TV at TV box, na sumasalamin sa paglipat ng interes ng mga umaatake patungo sa mga high-bandwidth consumer device.

Trending

Pinaka Nanood

Naglo-load...