Kimwolf Botnet Kampanyası

Güvenlik araştırmacıları, konut proxy ağlarını kullanarak iki milyondan fazla cihazı tehlikeye atan, Kimwolf olarak bilinen devasa bir Android odaklı botnet'i ortaya çıkardı. Bu kötü amaçlı yazılım, sıradan tüketici donanımını küresel bir saldırı platformuna dönüştürerek, kötü amaçlı trafiği sessizce yönlendiriyor ve büyük ölçekli dağıtılmış hizmet reddi (DDoS) operasyonlarına olanak sağlıyor. Gözlemler, her hafta yaklaşık 12 milyon benzersiz IP adresinin tespit edildiğini gösteriyor ve bu da operasyonun olağanüstü kapsamını vurguluyor.

AISURU’nun Kökenleri, Evrimi ve Bağlantıları

Kimwolf ilk olarak Aralık 2025'te kamuoyunun dikkatine sunuldu ve araştırmacılar, AISURU adlı başka bir botnet ile güçlü teknik ve altyapısal bağlar tespit etti. Kanıtlar, Kimwolf'un en az Ağustos 2025'ten beri aktif olduğunu ve AISURU'nun Android tabanlı bir evrimini temsil ettiğini gösteriyor. Araştırmacılar, bu botnetin geçen yılın sonlarına doğru gözlemlenen rekor kıran birçok DDoS saldırısına güç verdiğine giderek daha fazla inanıyor.

Küresel Enfeksiyon Yayılımı ve Hedeflenen Cihazlar

Kimwolf'un dünya çapında bir varlığı olmasına rağmen, enfeksiyonların büyük bir kısmı Vietnam, Brezilya, Hindistan ve Suudi Arabistan'da yoğunlaşmıştır. Ele geçirilen sistemlerin önemli bir bölümü, çoğu güvensiz varsayılan yapılandırmalarla birlikte gelen resmi olmayan Android akıllı TV'ler ve set üstü kutulardır.

Bağlı cihazların en az %67'si, kimlik doğrulaması yapılmamış bir Android Hata Ayıklama Köprüsü (ADB) hizmetini kullanıma sunarak uzaktan kontrole açık hale geliyor. Araştırmacılar, bu ürünlerin çoğunun tüketicilere ulaşmadan önce proxy ile ilgili yazılım geliştirme kitleri (SDK'ler) ile önceden yüklendiğinden ve böylece daha sonra kötü amaçlı yazılımlar için dağıtım kanalları haline gelen proxy ekosistemlerine dahil edildiklerinden şüpheleniyor.

Kimwolf Kontrolü Nasıl Yayıyor ve Sürdürüyor?

Kimwolf'un operatörleri, internette açıkta ADB hizmetleri çalıştıran Android cihazları taramak için büyük konut proxy ağlarına güveniyor. Tespit edildikten sonra, kötü amaçlı yazılım uzaktan yüklenerek cihaz bir trafik aktarım noktası ve saldırı düğümüne dönüştürülüyor. Temel yük, 40860 numaralı bağlantı noktasında bir dinleyici açıyor ve 85.234.91[.]247:1337 ile giden iletişimi kurarak buradan operasyonel komutlar alıyor.

Aralık 2025'e kadar, enfeksiyonların izi Çin merkezli IPIDEA'dan kiralanan proxy IP adreslerine kadar sürüldü. IPIDEA, kendisini dünyanın önde gelen IP proxy hizmeti sağlayıcısı olarak tanıtıyor ve günde 6,1 milyondan fazla IP adresini ve 69.000 yeni adresi güncellediğini belirtiyor. 27 Aralık'ta, saldırganların müşteriler tarafından yüklenen proxy yazılımları üzerinden tünelleme yaparak dahili cihazlara eriştiğine dair kanıtların ortaya çıkmasının ardından IPIDEA, yerel ağlara ve hassas portlara erişimi engelleyen bir güvenlik güncellemesi yayınladı.

Analistler, bu tekniğin yarattığı riskin emsalsiz olduğunu ve milyonlarca tüketici sistemini doğrudan otomatik istismarın hedefi haline getirdiğini belirtti.

Para Kazanma: Vekil Sunucular, Yükler ve Ücretli Saldırılar

Kimwolf'un finansal güdüleri en başından beri açıktı. Operatörler, altyapılarını agresif bir şekilde ticarileştirerek, ele geçirilmiş cihazları birden fazla kanal aracılığıyla kar getiren varlıklara dönüştürdüler:

• Konutlara yönelik proxy erişiminin satışı, GB başına 0,20 dolardan veya sınırsız bant genişliği için ayda yaklaşık 1400 dolardan başlayan fiyatlarla reklamı yapılarak birçok proxy hizmeti tarafından erken benimsenme gördü.
• İkincil para kazanma SDK'larının, özellikle de ücretli proxy görevlerini bir komut sunucusundan 119 özel röle sunucusu aracılığıyla virüs bulaşmış cihazlara yönlendiren Plainproxies Byteconnect SDK'sının devreye alınması.
• Botnet'in siber suç operasyonlarında kötüye kullanılması, büyük ölçekli DDoS saldırıları ve IMAP hizmetlerine ve popüler çevrimiçi platformlara karşı gözlemlenen kimlik bilgisi hırsızlığı kampanyalarını içermektedir.

Önceden virüs bulaştırılmış TV kutularının varlığı ve ticari bant genişliği paylaşım SDK'larının entegrasyonu, botnet operatörleri ile proxy ekonomisinin bazı kesimleri arasında derinleşen bir işbirliğine işaret etmektedir.

Savunma Tedbirleri ve Risk Azaltma

Benzer tehditleri azaltmak için hem hizmet sağlayıcılar hem de son kullanıcı ortamları genelinde koordineli eylem gerekmektedir:

• Proxy ağları, RFC 1918 adres aralıklarına yönlendirilen trafiği engellemeli ve harici müşterilerin tüketici cihazlarının bulunduğu dahili özel ağlara erişmesini önlemelidir.
• Kuruluşlar ve bireyler, özellikle genellikle güvensiz varsayılan ayarlarla gelen gömülü ve IoT tarzı cihazlar olmak üzere, Android sistemlerinde kimlik doğrulaması yapılmamış ADB erişimini devre dışı bırakmalı veya kısıtlamalıdır.

Bu kontroller olmadan, konut proxy ekosistemleri, büyük ölçekli kötü amaçlı yazılım dağıtımı ve botnet genişlemesi için ideal bir örtü sağlamaya devam edecektir.