Mạng lưới Botnet Kimwolf
Các chuyên gia an ninh mạng đã phát hiện ra một mạng botnet tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn có tên Kimwolf, đã lây nhiễm cho hơn 1,8 triệu thiết bị. Các thiết bị này bao gồm TV, đầu thu kỹ thuật số và máy tính bảng chạy hệ điều hành Android. Những cuộc điều tra ban đầu cho thấy mối liên hệ tiềm tàng với mạng botnet AISURU khét tiếng. Phát hiện này cho thấy sự tinh vi ngày càng tăng của phần mềm độc hại nhắm vào các thiết bị IoT và nhấn mạnh tầm quan trọng của việc cảnh giác trong việc bảo vệ các thiết bị kết nối.
Mục lục
Giải phẫu Kimwolf
Kimwolf được xây dựng bằng Bộ công cụ phát triển gốc (NDK) và kết hợp nhiều khả năng vượt xa các cuộc tấn công DDoS truyền thống. Các tính năng chính bao gồm:
- Chuyển tiếp proxy
- Truy cập shell ngược
- Chức năng quản lý tập tin
Phần mềm độc hại của mạng botnet được thiết kế để chạy một tiến trình duy nhất trên mỗi thiết bị, giải mã các tên miền Điều khiển và Kiểm soát (C2) được nhúng, phân giải địa chỉ IP của C2 bằng DNS-over-TLS và thực thi các lệnh nhận được từ người điều hành.
Quy mô và hoạt động phá kỷ lục
Chỉ trong ba ngày, từ ngày 19 đến 22 tháng 11 năm 2025, Kimwolf được cho là đã phát tán 1,7 tỷ lệnh tấn công DDoS. Một trong những tên miền C2 của nó, 14emeliaterracewestroxburyma02132[.]su, thậm chí còn xuất hiện trong top 100 tên miền của Cloudflare trong một thời gian ngắn, vượt qua cả Google.
Các mục tiêu lây nhiễm chính bao gồm các hộp truyền hình dân dụng như:
- TV BOX, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Về mặt địa lý, các ca nhiễm tập trung ở Brazil, Ấn Độ, Mỹ, Argentina, Nam Phi và Philippines, mặc dù phương thức lây lan chính xác vẫn chưa rõ.
Sự tiến hóa và khả năng phục hồi
Kimwolf thể hiện khả năng thích ứng vượt trội. Các tên miền C2 của nó đã bị đánh sập ít nhất ba lần trong tháng 12 năm 2025, khiến các nhà điều hành phải áp dụng tên miền Ethereum Name Service (ENS) để tăng cường cơ sở hạ tầng. Các phiên bản gần đây của phần mềm độc hại này tích hợp EtherHiding, một kỹ thuật lấy địa chỉ IP C2 thực thông qua hợp đồng thông minh và biến đổi nó bằng các phép toán XOR, khiến việc đánh sập trở nên khó khăn hơn nhiều.
Kết nối với AISURU và cơ sở hạ tầng dùng chung
Bằng chứng cho thấy Kimwolf có liên quan đến mạng botnet AISURU, nổi tiếng với các cuộc tấn công DDoS phá kỷ lục:
- Cả hai mạng botnet cùng tồn tại trên cùng các thiết bị bị nhiễm trong khoảng thời gian từ tháng 9 đến tháng 11 năm 2025.
- Sự tương đồng trong các gói APK và chứng chỉ ký mã ('John Dinglebert Dinglenut VIII VanSack Smith') cho thấy nguồn gốc phát triển chung.
- Máy chủ tải xuống (93.95.112[.]59) đã xác nhận sự hiện diện của các tập lệnh tham chiếu đến cả APK Kimwolf và AISURU.
Mối quan hệ này cho thấy có thể một nhóm tin tặc duy nhất đang vận hành cả hai mạng botnet để tối đa hóa phạm vi hoạt động và tránh bị phát hiện.
Khả năng tấn công và kiếm tiền
Kimwolf hỗ trợ 13 phương pháp tấn công DDoS khác nhau qua giao thức UDP, TCP và ICMP, nhắm mục tiêu vào các quốc gia bao gồm Mỹ, Trung Quốc, Pháp, Đức và Canada. Điều thú vị là, hơn 96% các lệnh được phát ra đều hướng đến việc sử dụng các máy chủ bị nhiễm làm dịch vụ proxy, cho thấy động cơ lợi nhuận rất rõ rệt.
Các thành phần bổ sung được triển khai trên các thiết bị bị xâm nhập bao gồm:
- Công cụ dòng lệnh dựa trên Rust – xây dựng mạng proxy
- ByteConnect SDK – công cụ kiếm tiền từ lưu lượng truy cập IoT dành cho các nhà phát triển và chủ sở hữu thiết bị.
- Mã hóa TLS bảo mật tất cả các liên lạc, đồng thời dữ liệu nhạy cảm về máy chủ C2 và trình phân giải DNS cũng được mã hóa, tăng cường tính bí mật trong hoạt động.
Bối cảnh rộng hơn của các mạng botnet khổng lồ
Kể từ khi Mirai xuất hiện vào năm 2016, các mạng botnet IoT khổng lồ đã phát triển đáng kể. Các phiên bản ban đầu chủ yếu nhắm mục tiêu vào bộ định tuyến băng thông rộng và camera, nhưng các mạng botnet hiện đại như Badbox, Bigpanzi, Vo1d và Kimwolf ngày càng tập trung vào TV thông minh và hộp TV, phản ánh sự chuyển hướng sở thích của kẻ tấn công sang các thiết bị tiêu dùng có băng thông cao.
