Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mạng botnet Chiến dịch Botnet Kimwolf

Chiến dịch Botnet Kimwolf

Đến năm Mezo năm Mạng botnet
Dịch sang:

Các nhà nghiên cứu bảo mật đã phát hiện ra một mạng botnet khổng lồ tập trung vào hệ điều hành Android có tên là Kimwolf, đã xâm nhập hơn hai triệu thiết bị bằng cách khai thác các mạng proxy dân dụng. Phần mềm độc hại này biến phần cứng tiêu dùng thông thường thành một nền tảng tấn công toàn cầu, âm thầm định tuyến lưu lượng truy cập độc hại và cho phép các hoạt động tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn. Quan sát cho thấy khoảng 12 triệu địa chỉ IP duy nhất mỗi tuần, cho thấy quy mô hoạt động phi thường của mạng lưới này.

Nguồn gốc, sự tiến hóa và mối liên hệ với AISURU

Kimwolf lần đầu tiên được phân tích công khai vào tháng 12 năm 2025 , khi các nhà điều tra xác định được mối liên hệ chặt chẽ về kỹ thuật và cơ sở hạ tầng với một mạng botnet khác có tên là AISURU. Bằng chứng cho thấy Kimwolf đã hoạt động ít nhất từ tháng 8 năm 2025 và là phiên bản phát triển dựa trên Android của AISURU. Các nhà nghiên cứu ngày càng tin rằng mạng botnet này đã gây ra một số chiến dịch tấn công DDoS phá kỷ lục được ghi nhận vào cuối năm ngoái.

Dấu ấn lây nhiễm toàn cầu và các thiết bị nhắm mục tiêu

Mặc dù Kimwolf có mặt trên toàn thế giới, nhưng các vụ lây nhiễm tập trung nhiều nhất ở Việt Nam, Brazil, Ấn Độ và Ả Rập Xê Út. Một phần đáng kể các hệ thống bị xâm nhập là TV thông minh và đầu thu kỹ thuật số Android không chính thức, nhiều thiết bị trong số đó được xuất xưởng với cấu hình mặc định không an toàn.

Ít nhất 67% thiết bị kết nối mạng để lộ dịch vụ Android Debug Bridge (ADB) chưa được xác thực, khiến chúng dễ bị điều khiển từ xa. Các nhà điều tra nghi ngờ rằng nhiều sản phẩm trong số này được cài đặt sẵn bộ công cụ phát triển phần mềm (SDK) liên quan đến máy chủ proxy trước khi đến tay người tiêu dùng, từ đó đưa chúng vào hệ sinh thái proxy, vốn sau này trở thành kênh phân phối phần mềm độc hại.

Cách Kimwolf lan rộng và duy trì sự kiểm soát

Các nhà điều hành của Kimwolf dựa vào các mạng proxy dân cư lớn để quét internet tìm kiếm các thiết bị Android đang chạy các dịch vụ ADB bị lộ. Sau khi xác định được, phần mềm độc hại sẽ được cài đặt từ xa, biến thiết bị thành một trạm chuyển tiếp lưu lượng và nút tấn công. Phần mềm độc hại chính mở một trình lắng nghe trên cổng 40860 và thiết lập liên lạc đi ra với 85.234.91[.]247:1337, từ đó nó nhận các lệnh hoạt động.

Mới đây vào tháng 12 năm 2025, các vụ lây nhiễm được truy vết đến các địa chỉ IP proxy thuê từ IPIDEA có trụ sở tại Trung Quốc, một nhà cung cấp tự quảng cáo là dịch vụ proxy IP hàng đầu thế giới với hơn 6,1 triệu địa chỉ IP được làm mới mỗi ngày và 69.000 địa chỉ mới mỗi ngày. Vào ngày 27 tháng 12, IPIDEA đã triển khai bản cập nhật bảo mật chặn quyền truy cập vào mạng cục bộ và các cổng nhạy cảm sau khi xuất hiện bằng chứng cho thấy kẻ tấn công đang tạo đường hầm thông qua phần mềm proxy do khách hàng cài đặt để truy cập vào các thiết bị nội bộ.

Các nhà phân tích mô tả mức độ rủi ro mà kỹ thuật này tạo ra là chưa từng có, đặt hàng triệu hệ thống người dùng trực tiếp vào nguy cơ bị khai thác tự động.

Kiếm tiền: Máy chủ proxy, mã độc và các cuộc tấn công trả phí

Ngay từ đầu, động cơ tài chính của Kimwolf đã rất rõ ràng. Nhóm này đã tích cực thương mại hóa cơ sở hạ tầng của mình, biến các thiết bị bị xâm nhập thành tài sản sinh lời thông qua nhiều kênh khác nhau:

  • Việc bán quyền truy cập proxy dân cư, được quảng cáo với giá rẻ chỉ 0,20 đô la mỗi GB hoặc khoảng 1.400 đô la mỗi tháng cho băng thông không giới hạn, đã thu hút sự tham gia sớm của nhiều nhà cung cấp dịch vụ proxy.
  • Triển khai các SDK kiếm tiền thứ cấp, đáng chú ý nhất là Plainproxies Byteconnect SDK, định tuyến các tác vụ proxy trả phí từ máy chủ điều khiển đến các thiết bị bị nhiễm thông qua 119 máy chủ chuyển tiếp chuyên dụng.
  • Lạm dụng mạng botnet cho các hoạt động tội phạm mạng, bao gồm hoạt động tấn công DDoS quy mô lớn và các chiến dịch đánh cắp thông tin đăng nhập nhắm vào dịch vụ IMAP và các nền tảng trực tuyến phổ biến.

Sự hiện diện của các hộp TV bị nhiễm virus từ trước và việc tích hợp các bộ công cụ phát triển phần mềm (SDK) chia sẻ băng thông thương mại cho thấy rõ ràng sự hợp tác ngày càng sâu rộng giữa các nhà điều hành mạng botnet và các phân khúc của nền kinh tế proxy.

Các biện pháp phòng ngừa và giảm thiểu rủi ro

Để giảm thiểu các mối đe dọa tương tự, cần có sự phối hợp hành động giữa các nhà cung cấp dịch vụ và môi trường người dùng cuối:

  • Các mạng proxy nên chặn lưu lượng truy cập hướng đến các dải địa chỉ RFC 1918, ngăn chặn khách hàng bên ngoài truy cập vào các mạng riêng nội bộ nơi các thiết bị của người tiêu dùng được đặt.
  • Các tổ chức và cá nhân phải vô hiệu hóa hoặc hạn chế quyền truy cập ADB không được xác thực trên hệ thống Android, đặc biệt là các thiết bị nhúng và thiết bị IoT thường được cài đặt mặc định không an toàn.

Nếu thiếu các biện pháp kiểm soát này, hệ sinh thái proxy dân cư sẽ tiếp tục là vỏ bọc lý tưởng cho việc triển khai phần mềm độc hại quy mô lớn và mở rộng mạng botnet.

xu hướng

Chiến dịch Botnet Kimwolf

Mạng botnet
Các nhà nghiên cứu bảo mật đã phát hiện ra một mạng botnet khổng lồ tập trung vào hệ điều hành Android có tên là Kimwolf, đã xâm nhập hơn hai triệu thiết bị bằng cách khai thác các mạng proxy dân dụng. Phần mềm độc hại này biến phần cứng tiêu dùng thông thường thành một nền tảng tấn công toàn cầu, âm thầm định tuyến lưu lượng truy cập độc hại và cho phép các hoạt động tấn công từ chối dịch vụ...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
29,237
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...