Phần mềm độc hại KadNap

Các nhà nghiên cứu an ninh mạng đã xác định một chủng phần mềm độc hại mới nổi có tên KadNap, chủ yếu nhắm mục tiêu vào các bộ định tuyến Asus và tuyển dụng chúng vào một mạng botnet được thiết kế để chuyển tiếp lưu lượng truy cập internet độc hại. Lần đầu tiên được phát hiện trong thực tế vào tháng 8 năm 2025, phần mềm độc hại này đã lây nhiễm hơn 14.000 thiết bị trên toàn thế giới. Phân tích cho thấy hơn 60% hệ thống bị xâm nhập nằm ở Hoa Kỳ, trong khi các cụm lây nhiễm nhỏ hơn đã được phát hiện ở Đài Loan, Hồng Kông, Nga, Vương quốc Anh, Úc, Brazil, Pháp, Ý và Tây Ban Nha.

Mặc dù các bộ định tuyến Asus dường như là mục tiêu chính, nhưng các cuộc điều tra cho thấy những kẻ điều hành KadNap đã mở rộng phạm vi hoạt động sang nhiều thiết bị mạng biên khác. Sự mở rộng này cho thấy một nỗ lực có chủ đích nhằm tối đa hóa quy mô và khả năng phục hồi của cơ sở hạ tầng mạng botnet.

Che giấu thông tin giữa người dùng với nhau thông qua công nghệ Kademlia

Một đặc điểm nổi bật của hoạt động KadNap là việc nó dựa vào một phiên bản sửa đổi của giao thức Bảng băm phân tán Kademlia (DHT). Giao thức này được tích hợp vào kiến trúc ngang hàng (peer-to-peer) nhằm che giấu vị trí cơ sở hạ tầng của mạng botnet bằng cách ẩn các hệ thống điều khiển bên trong các nút phân tán.

Các thiết bị bị xâm nhập giao tiếp thông qua mạng DHT để phát hiện và kết nối với các máy chủ Chỉ huy và Kiểm soát (C2). Bằng cách phân tán thông tin liên lạc trên một môi trường phi tập trung, phần mềm độc hại tránh phụ thuộc vào một điểm cơ sở hạ tầng duy nhất, làm phức tạp đáng kể các nỗ lực phát hiện và triệt phá truyền thống. Phương pháp này kết hợp hiệu quả lưu lượng truy cập độc hại vào hoạt động mạng ngang hàng hợp pháp, khiến việc giám sát và ngăn chặn trở nên khó khăn hơn đáng kể đối với các nhà bảo vệ.

Cơ chế lây nhiễm và chiến lược duy trì sự sống

Chuỗi lây nhiễm bắt đầu bằng một tập lệnh shell có tên aic.sh, được tải xuống từ máy chủ dòng lệnh đặt tại địa chỉ IP 212.104.141.140. Tập lệnh này khởi động quá trình tích hợp thiết bị bị xâm nhập vào hệ sinh thái ngang hàng (peer-to-peer) của mạng botnet.

Tập lệnh thiết lập khả năng duy trì hoạt động bằng cách tạo một tác vụ cron theo lịch trình, tải xuống cùng một tập lệnh vào phút thứ 55 của mỗi giờ. Mỗi lần được tải xuống, tập lệnh được đổi tên thành '.asusrouter' và được thực thi. Sau khi thiết lập được khả năng duy trì hoạt động, tập lệnh tải xuống một tệp nhị phân ELF độc hại, đổi tên thành kad và chạy nó, từ đó triển khai phần mềm độc hại KadNap. Phần mềm độc hại này được thiết kế để hoạt động trên các thiết bị sử dụng cả bộ xử lý ARM và MIPS, cho phép nó xâm nhập vào nhiều kiến trúc bộ định tuyến khác nhau.

Khám phá ngang hàng dựa trên thời gian và điều phối mạng lưới

KadNap tích hợp một cơ chế đồng bộ hóa hoạt động trên mạng lưới phi tập trung của nó. Phần mềm độc hại kết nối với máy chủ Giao thức Thời gian Mạng (NTP) để lấy thời gian hệ thống hiện tại và kết hợp nó với thông tin thời gian hoạt động của thiết bị bị nhiễm. Các giá trị này được sử dụng để tạo ra một mã băm giúp thiết bị bị nhiễm định vị các thiết bị khác trong mạng lưới phân tán.

Quá trình này cho phép các hệ thống bị xâm nhập phát hiện các nút khác, lấy hướng dẫn và tải xuống các tệp độc hại bổ sung mà không cần dựa vào cấu trúc lệnh tập trung. Các tập lệnh hỗ trợ như fwr.sh và /tmp/.sose cũng thực hiện các tác vụ bổ sung, bao gồm vô hiệu hóa cổng 22, cổng TCP tiêu chuẩn được sử dụng bởi Secure Shell (SSH), và trích xuất danh sách các tổ hợp địa chỉ và cổng máy chủ C2 được sử dụng để liên lạc tiếp theo.

Thương mại hóa mạng Botnet thông qua dịch vụ Proxy

Sau khi các bộ định tuyến bị xâm nhập, chúng được tích hợp vào một mạng proxy thương mại được tiếp thị dưới tên Doppelgänger thông qua trang web doppelganger.shop. Các nhà nghiên cứu bảo mật đánh giá dịch vụ này là phiên bản đổi tên của Faceless, một nền tảng proxy trước đây có liên quan đến phần mềm độc hại TheMoon.

Theo tài liệu quảng cáo do dịch vụ này công bố, mạng lưới cung cấp quyền truy cập proxy dân cư tại hơn 50 quốc gia và quảng cáo "độ ẩn danh 100%" cho người dùng. Bằng chứng cho thấy nền tảng này được ra mắt vào khoảng tháng 5 hoặc tháng 6 năm 2025. Cơ sở hạ tầng phân chia các thiết bị bị nhiễm theo loại và kiểu máy, vì không phải mọi thiết bị bị xâm nhập đều liên lạc với mọi máy chủ điều khiển. Sự phân chia này cho thấy một chiến lược quản lý mạng botnet có cấu trúc và khả năng mở rộng.

Mạng proxy đã được phát hiện bị nhiều tác nhân đe dọa khai thác. Tuy nhiên, việc xác định thủ phạm vẫn còn khó khăn vì các bộ định tuyến tham gia vào mạng đôi khi bị nhiễm đồng thời bởi các họ phần mềm độc hại khác, làm che khuất tác nhân nào chịu trách nhiệm cho các hoạt động độc hại cụ thể.

Các biện pháp phòng vệ dành cho người sở hữu bộ định tuyến

Sự nổi lên của KadNap cho thấy nguy cơ ngày càng gia tăng do các thiết bị biên mạng được bảo mật kém trong cả môi trường gia đình và văn phòng nhỏ. Các chuyên gia bảo mật mạng và người dùng cá nhân có thể giảm đáng kể nguy cơ bị tấn công bằng cách áp dụng một số biện pháp bảo mật sau:

• Cập nhật firmware và các bản vá bảo mật mới nhất cho bộ định tuyến và các thiết bị mạng.
• Khởi động lại thiết bị định kỳ để xóa các tiến trình độc hại tạm thời khi cần thiết.
• Hãy thay thế thông tin đăng nhập mặc định bằng mật khẩu mạnh và độc đáo.
• Hạn chế và bảo mật các giao diện quản trị.
• Loại bỏ và thay thế các bộ định tuyến đã hết hạn sử dụng và không còn nhận được các bản cập nhật bảo mật từ nhà cung cấp.

Một mạng botnet phi tập trung được thiết kế để hoạt động bí mật.

KadNap khác biệt với nhiều mạng botnet truyền thống hỗ trợ dịch vụ proxy ẩn danh nhờ sử dụng kiến trúc ngang hàng phi tập trung. Bằng cách tận dụng giao thức Kademlia DHT, mạng botnet này phân phối quyền kiểm soát trên nhiều thiết bị bị nhiễm thay vì dựa vào các máy chủ tập trung dễ nhận dạng.

Kiến trúc này cung cấp cho các nhà điều hành các kênh liên lạc mạnh mẽ, khó phát hiện, chặn hoặc phá hủy hơn đáng kể. Mục tiêu chiến lược rất rõ ràng: duy trì hoạt động liên tục, né tránh sự giám sát an ninh và làm phức tạp các nỗ lực phản ứng phòng thủ của các đội an ninh mạng.