Кампанія ботнетів Kimwolf
Дослідники безпеки виявили масштабний ботнет, орієнтований на Android, відомий як Kimwolf, який скомпрометував понад два мільйони пристроїв, використовуючи мережі проксі-серверів для житлових приміщень. Шкідливе програмне забезпечення перетворює повсякденне споживче обладнання на глобальну платформу для атак, непомітно маршрутизуючи шкідливий трафік та дозволяючи здійснювати масштабні розподілені операції відмови в обслуговуванні (DDoS). Спостереження показують приблизно 12 мільйонів унікальних IP-адрес щотижня, що підкреслює надзвичайний масштаб цієї операції.
Зміст
Походження, еволюція та зв’язки з AISURU
Kimwolf вперше публічно проаналізували у грудні 2025 року , коли слідчі виявили сильні технічні та інфраструктурні зв'язки з іншим ботнетом під назвою AISURU. Дані свідчать про те, що Kimwolf активний щонайменше з серпня 2025 року та являє собою еволюцію AISURU на базі Android. Дослідники дедалі більше вважають, що цей ботнет забезпечив кілька рекордних DDoS-кампаній, які спостерігалися наприкінці минулого року.
Глобальний слід інфекції та цільові пристрої
Хоча Kimwolf присутній по всьому світу, зараження зосереджені переважно у В'єтнамі, Бразилії, Індії та Саудівській Аравії. Значна частина скомпрометованих систем – це неофіційні смарт-телевізори та телеприставки Android, багато з яких постачаються з незахищеними конфігураціями за замовчуванням.
Принаймні 67% підключених пристроїв піддають дії неавтентифікованого сервісу Android Debug Bridge (ADB), що робить їх відкритими для віддаленого керування. Слідчі підозрюють, що багато з цих продуктів попередньо завантажені комплекти розробки програмного забезпечення (SDK), пов'язані з проксі-серверами, перш ніж вони потраплять до споживачів, фактично реєструючи їх в екосистемах проксі-серверів, які згодом стають каналами доставки шкідливого програмного забезпечення.
Як Кімвульф поширює та підтримує контроль
Оператори Kimwolf покладаються на великі житлові проксі-мережі для сканування Інтернету на наявність пристроїв Android, на яких працюють незахищені служби ADB. Після ідентифікації шкідливе програмне забезпечення встановлюється віддалено, перетворюючи пристрій на ретранслятор трафіку та вузол атаки. Основне корисне навантаження відкриває слухач на порту 40860 та встановлює вихідний зв'язок з 85.234.91[.]247:1337, з якого отримує операційні команди.
Ще в грудні 2025 року зараження були виявлені за допомогою проксі-IP-адрес, орендованих у китайської компанії IPIDEA, яка рекламує себе як провідного світового проксі-провайдера з понад 6,1 мільйона щоденно оновлюваних IP-адрес та 69 000 нових адрес щодня. 27 грудня IPIDEA розгорнула оновлення безпеки, що блокує доступ до локальних мереж та конфіденційних портів після того, як з'явилися докази того, що зловмисники тунелювали через встановлене клієнтами проксі-програмне забезпечення для доступу до внутрішніх пристроїв.
Аналітики описали безпрецедентний рівень викриття, створений цією технікою, що поставило мільйони споживчих систем безпосередньо на шлях автоматизованої експлуатації.
Монетизація: проксі, корисні навантаження та платні атаки
З самого початку фінансові мотиви Kimwolf були зрозумілими. Оператори агресивно комерціалізували свою інфраструктуру, перетворюючи скомпрометовані пристрої на прибуткові активи через різні канали:
- Продаж проксі-доступу для домашнього використання, рекламований за ціною від $0,20 за ГБ або близько $1400 на місяць за необмежену пропускну здатність, що привернуло до раннього впровадження з боку багатьох проксі-сервісів.
- Розгортання вторинних SDK для монетизації, зокрема Plainproxies Byteconnect SDK, який перенаправляє платні завдання проксі-сервера з командного сервера на заражені пристрої через 119 виділених ретрансляційних серверів.
- Зловживання ботнетом для кіберзлочинних операцій, включаючи масштабну DDoS-активність та спостережувані кампанії з вилучення облікових даних проти сервісів IMAP та популярних онлайн-платформ.
Наявність попередньо заражених телевізійних приставок та інтеграція комерційних SDK для спільного використання пропускної здатності переконливо свідчать про поглиблення співпраці між операторами ботнетів та сегментами проксі-економіки.
Захисні заходи та зниження ризиків
Для зменшення подібних загроз необхідні скоординовані дії як з боку постачальників послуг, так і з боку кінцевих користувачів:
- Проксі-мережі повинні блокувати трафік, призначений для діапазонів адрес RFC 1918, запобігаючи доступу зовнішніх клієнтів до внутрішніх приватних мереж, де знаходяться пристрої споживачів.
- Організації та окремі особи повинні вимикати або обмежувати неавтентифікований доступ до ADB на системах Android, особливо на вбудованих пристроях та пристроях типу Інтернету речей, які часто постачаються з незахищеними налаштуваннями за замовчуванням.
Без цих засобів контролю екосистеми житлових проксі-серверів продовжуватимуть забезпечувати ідеальне прикриття для масштабного розгортання шкідливого програмного забезпечення та розширення ботнетів.
