Multi-License Discount Quote
Banta sa Database Mga botnet Kampanya ng Kimwolf Botnet

Kampanya ng Kimwolf Botnet

Sa pamamagitan ng Mezo sa Mga botnet
Isalin To:

Natuklasan ng mga mananaliksik sa seguridad ang isang napakalaking botnet na nakatuon sa Android na kilala bilang Kimwolf, na nakakompromiso sa mahigit dalawang milyong device sa pamamagitan ng pagsasamantala sa mga residential proxy network. Binabago ng malware ang pang-araw-araw na hardware ng mga mamimili tungo sa isang pandaigdigang plataporma ng pag-atake, tahimik na niruruta ang malisyosong trapiko at nagbibigay-daan sa malawakang distributed denial-of-service (DDoS) na mga operasyon. Ipinapakita ng mga obserbasyon ang humigit-kumulang 12 milyong natatanging IP address bawat linggo, na nagpapakita ng pambihirang saklaw ng operasyong ito.

Mga Pinagmulan, Ebolusyon, at mga Kaugnayan sa AISURU

Unang sinuri sa publiko ang Kimwolf noong Disyembre 2025 , nang matukoy ng mga imbestigador ang matibay na teknikal at imprastrakturang ugnayan sa isa pang botnet na tinatawag na AISURU. Ipinahihiwatig ng ebidensya na ang Kimwolf ay aktibo simula pa noong Agosto 2025 at kumakatawan sa isang Android-based na ebolusyon ng AISURU. Parami nang parami ang naniniwalang ang botnet na ito ay nagpagana ng ilang record-breaking na kampanya ng DDoS na naobserbahan sa pagtatapos ng nakaraang taon.

Pandaigdigang Bakas ng Impeksyon at mga Naka-target na Kagamitan

Bagama't laganap ang Kimwolf sa buong mundo, ang mga impeksyon ay lubhang laganap sa Vietnam, Brazil, India, at Saudi Arabia. Ang isang malaking bahagi ng mga nakompromisong sistema ay mga hindi opisyal na Android smart TV at set-top box, na marami sa mga ito ay may mga hindi secure na default na configuration.

Hindi bababa sa 67% ng mga nakakonektang device ang naglalantad ng hindi awtorisadong serbisyo ng Android Debug Bridge (ADB), kaya naman bukas ang mga ito para sa remote control. Hinala ng mga imbestigador na marami sa mga produktong ito ay paunang nilagyan ng mga proxy-related software development kit (SDK) bago pa man makarating sa mga mamimili, na epektibong nag-eenrol sa mga ito sa mga proxy ecosystem na kalaunan ay nagiging mga delivery channel para sa malware.

Paano Kumakalat at Napanatili ng Kimwolf ang Kontrol

Ang mga operator ng Kimwolf ay umaasa sa malalaking residential proxy network upang i-scan ang internet para sa mga Android device na nagpapatakbo ng mga nakalantad na serbisyo ng ADB. Kapag natukoy na, ang malware ay ini-install nang malayuan, na ginagawang isang traffic relay at attack node ang device. Ang core payload ay nagbubukas ng isang listener sa port 40860 at nagtatatag ng outbound communication sa 85.234.91[.]247:1337, kung saan ito tumatanggap ng mga operational command.

Noong Disyembre 2025 pa lamang, ang mga impeksyon ay natunton na sa mga proxy IP address na inuupahan mula sa IPIDEA na nakabase sa Tsina, isang provider na nag-aanunsyo ng sarili bilang nangungunang serbisyo ng IP proxy sa mundo na may mahigit 6.1 milyong araw-araw na nire-refresh na mga IP at 69,000 bagong address bawat araw. Noong Disyembre 27, nagpatupad ang IPIDEA ng isang update sa seguridad na humaharang sa access sa mga lokal na network at sensitibong port matapos lumitaw ang ebidensya na ang mga attacker ay nag-tunnel sa proxy software na naka-install ng customer upang maabot ang mga internal device.

Ang pagkakalantad na nilikha ng pamamaraang ito ay inilarawan ng mga analyst bilang walang katulad, na naglalagay ng milyun-milyong sistema ng mga mamimili nang direkta sa landas ng awtomatikong pagsasamantala.

Pag-monetize: Mga Proxy, Payload, at Bayad na Pag-atake

Mula pa sa simula, malinaw ang mga motibo sa pananalapi ni Kimwolf. Agresibong ginawang komersyal ng mga operator ang kanilang imprastraktura, na ginagawang mga asset na kumikita ang mga nakompromisong device sa pamamagitan ng maraming channel:

  • Pagbebenta ng residential proxy access, na inaanunsyo nang kasingmura ng $0.20 bawat GB o humigit-kumulang $1,400 bawat buwan para sa unlimited bandwidth, na nakaakit ng maagang paggamit mula sa maraming serbisyo ng proxy.
  • Pag-deploy ng mga secondary monetization SDK, lalo na ang Plainproxies Byteconnect SDK, na nagruruta ng mga bayad na proxy task mula sa isang command server patungo sa mga nahawaang device sa pamamagitan ng 119 na dedicated relay server.
  • Pag-abuso sa botnet para sa mga operasyon sa cybercrime, kabilang ang malawakang aktibidad ng DDoS at mga naobserbahang kampanyang pagpuno ng kredensyal laban sa mga serbisyo ng IMAP at mga sikat na online platform.

Ang pagkakaroon ng mga pre-infected na TV box at ang integrasyon ng mga commercial bandwidth-sharing SDK ay mariing nagmumungkahi ng mas malalim na kolaborasyon sa pagitan ng mga botnet operator at mga segment ng proxy economy.

Mga Hakbang na Pangdepensa at Pagbabawas ng Panganib

Upang mapagaan ang mga katulad na banta, kinakailangan ang koordinadong aksyon sa parehong mga service provider at mga kapaligiran ng end-user:

  • Dapat harangan ng mga proxy network ang trapikong nakalaan para sa mga saklaw ng address ng RFC 1918, na pumipigil sa mga panlabas na customer na maabot ang mga panloob na pribadong network kung saan matatagpuan ang mga device ng mga mamimili.
  • Dapat i-disable o paghigpitan ng mga organisasyon at indibidwal ang hindi awtorisadong ADB access sa mga Android system, partikular na ang mga naka-embed at IoT-style na device na kadalasang may mga hindi secure na default.

Kung wala ang mga kontrol na ito, ang mga residential proxy ecosystem ay patuloy na magbibigay ng mainam na panangga para sa malawakang pag-deploy ng malware at pagpapalawak ng botnet.

Trending

Pinaka Nanood

Naglo-load...