Kimwolf Botnet

Siber güvenlik uzmanları, 1,8 milyondan fazla cihazı etkileyen Kimwolf adlı devasa bir dağıtılmış hizmet reddi (DDoS) botnet'ini ortaya çıkardı. Etkilenen cihazlar arasında Android tabanlı TV'ler, set üstü kutular ve tabletler bulunuyor. İlk incelemeler, kötü şöhretli AISURU botnet'iyle potansiyel bir bağlantı olduğunu gösteriyor. Bu keşif, IoT'yi hedef alan kötü amaçlı yazılımların artan karmaşıklığını ve bağlı cihazların korunmasında uyanık olmanın kritik önemini vurguluyor.

Kimwolf'un Anatomisi

Kimwolf, Yerel Geliştirme Kiti (NDK) kullanılarak geliştirilmiştir ve geleneksel DDoS saldırılarının ötesinde birçok yeteneği bir araya getirir. Başlıca özellikleri şunlardır:

• Vekil yönlendirme
• Ters kabuk erişimi
• Dosya yönetimi fonksiyonları

Botnet'in kötü amaçlı yazılımı, cihaz başına tek bir işlem çalıştırmak, gömülü Komuta ve Kontrol (C2) alan adlarını şifresini çözmek, DNS-over-TLS kullanarak C2 IP adresini çözümlemek ve operatörlerinden aldığı komutları yürütmek üzere tasarlanmıştır.

Rekor Ölçekte ve Etkinlikte

Kimwolf'un, 19-22 Kasım 2025 tarihleri arasında sadece üç gün içinde 1,7 milyar DDoS saldırı komutu gönderdiği bildirildi. C2 alan adlarından biri olan 14emeliaterracewestroxburyma02132[.]su, kısa bir süreliğine Cloudflare'ın en iyi 100 alan adı arasına girerek Google'ı geçici olarak geride bıraktı.

Başlıca enfeksiyon hedefleri arasında aşağıdakiler gibi ev tipi TV alıcıları yer almaktadır:

• TV BOX, SuperBOX, HiDPTAndroid
• P200, X96Q, XBOX, SmartTV, MX10

Coğrafi olarak enfeksiyonlar Brezilya, Hindistan, ABD, Arjantin, Güney Afrika ve Filipinler'de yoğunlaşmış durumda, ancak kesin yayılma yöntemi hala belirsizliğini koruyor.

Evrim ve Direnç

Kimwolf, gelişmiş bir uyum yeteneği sergiliyor. C2 alan adları Aralık 2025'te en az üç kez devre dışı bırakıldı ve bu durum, operatörlerin altyapıyı güçlendirmek için Ethereum Adlandırma Hizmeti (ENS) alan adlarını benimsemesine yol açtı. Kötü amaçlı yazılımın son sürümleri, akıllı sözleşmeler aracılığıyla gerçek C2 IP adresini alan ve XOR işlemleriyle dönüştüren EtherHiding tekniğini içeriyor; bu da devre dışı bırakmayı çok daha zor hale getiriyor.

AISURU ve Ortak Altyapıya Bağlantı

Kanıtlar, Kimwolf'u rekor kıran DDoS saldırılarıyla bilinen AISURU botnet'iyle ilişkilendiriyor:

• Her iki botnet de Eylül ve Kasım 2025 tarihleri arasında aynı enfekte cihazlarda birlikte var oldu.
• APK paketlerindeki ve kod imzalama sertifikalarındaki ('John Dinglebert Dinglenut VIII VanSack Smith') benzerlikler, ortak bir geliştirme kökenine işaret etmektedir.
• Bir indirme sunucusu (93.95.112[.]59), hem Kimwolf hem de AISURU APK'larına atıfta bulunan komut dosyalarının varlığını doğruladı.

Bu ilişki, erişim alanını en üst düzeye çıkarmak ve tespit edilmekten kaçınmak için her iki botnet'i de tek bir hacker grubunun işlettiğine işaret ediyor.

Saldırı Yetenekleri ve Para Kazanma

Kimwolf, UDP, TCP ve ICMP üzerinden 13 farklı DDoS yöntemini destekleyerek ABD, Çin, Fransa, Almanya ve Kanada gibi ülkeleri hedef alıyor. İlginç bir şekilde, verilen komutların %96'sından fazlası, enfekte olmuş düğümleri proxy hizmetleri olarak kullanmayı hedefliyor; bu da güçlü bir kar amacı güdüsünü gösteriyor.

Ele geçirilen cihazlara yerleştirilen ek bileşenler şunlardır:

• Rust tabanlı Komut İstemcisi – bir proxy ağı oluşturur.
• ByteConnect SDK – geliştiriciler ve cihaz sahipleri için IoT trafiğinden gelir elde etmeyi sağlar.
• TLS şifrelemesi tüm iletişimi güvence altına alırken, C2 sunucuları ve DNS çözümleyicileri hakkındaki hassas veriler de şifrelenerek operasyonel gizlilik artırılır.

Dev Botnetlerin Daha Geniş Bağlamı

Mirai'nin 2016'da ortaya çıkışından bu yana, devasa IoT botnet'leri önemli ölçüde gelişti. İlk sürümler öncelikle geniş bant yönlendiricileri ve kameraları hedef alırken, Badbox, Bigpanzi, Vo1d ve Kimwolf gibi modern botnet'ler giderek akıllı TV'lere ve TV kutularına odaklanıyor; bu da saldırganların yüksek bant genişliğine sahip tüketici cihazlarına yönelik artan ilgisini yansıtıyor.