KadNap恶意软件

网络安全研究人员发现了一种名为 KadNap 的新型恶意软件，该软件主要针对华硕路由器，并将其招募到僵尸网络中，用于代理恶意网络流量。该恶意软件于 2025 年 8 月首次被发现，目前已感染全球超过 14,000 台设备。分析表明，超过 60% 的受感染系统位于美国，而台湾、香港、俄罗斯、英国、澳大利亚、巴西、法国、意大利和西班牙也检测到了规模较小的感染集群。

尽管华硕路由器似乎是主要目标，但调查显示，KadNap背后的运营者已将攻击范围扩大到更广泛的边缘网络设备。这种扩张表明，他们有意扩大僵尸网络基础设施的规模和弹性。

通过 Kademlia 技术实现点对点隐蔽

KadNap行动的一个显著特征是它依赖于Kademlia分布式哈希表（DHT）协议的修改版本。该协议集成到点对点架构中，通过将命令系统隐藏在分布式节点内，从而掩盖僵尸网络基础设施的位置。

受感染的设备通过分布式哈希表 (DHT) 网络通信，以发现并连接到命令与控制 (C2) 服务器。通过将通信分散到去中心化的环境中，恶意软件避免了对单一基础设施点的依赖，从而显著增加了传统检测和清除工作的难度。这种方法有效地将恶意流量混入合法的点对点网络活动中，使防御者的监控和干扰变得更加困难。

感染机制和持续感染策略

感染链始于一个名为 aic.sh 的 shell 脚本，该脚本从 IP 地址为 212.104.141.140 的命令服务器下载。该脚本启动了将受感染设备集成到僵尸网络点对点生态系统的过程。

该脚本通过创建一个定时任务（cron job）来实现持久化，该任务每小时的第 55 分钟下载同一个脚本。每次下载后，脚本都会被重命名为“.asusrouter”并执行。一旦持久化成功，该脚本就会下载一个恶意 ELF 二进制文件，将其重命名为“kad”并运行，从而有效地部署 KadNap 恶意软件的有效载荷。该恶意软件经过精心设计，可在使用 ARM 和 MIPS 处理器的设备上运行，使其能够入侵多种路由器架构。

基于时间的对等发现和网络协调

KadNap 内置了一种机制，用于同步其去中心化网络中的活动。该恶意软件会连接到网络时间协议 (NTP) 服务器以获取当前系统时间，并将其与受感染设备的运行时间信息相结合。这些值用于生成哈希值，以帮助受感染设备在分布式网络中定位其他节点。

该过程使受感染的系统能够在不依赖集中式命令结构的情况下发现其他节点、获取指令并下载其他恶意文件。诸如 fwr.sh 和 /tmp/.sose 之类的辅助脚本还会执行其他任务，包括禁用安全外壳协议 (SSH) 使用的标准 TCP 端口 22，以及提取用于进一步通信的 C2 服务器地址和端口组合列表。

通过代理服务实现僵尸网络的商业化

一旦路由器被攻破，它们就会被整合到一个名为 Doppelgänger 的商业代理网络中，该网络通过 doppelganger.shop 网站进行销售。安全研究人员评估认为，这项服务是 Faceless 的更名版本，Faceless 是一个此前与 TheMoon 恶意软件相关的代理平台。

根据该服务发布的宣传资料，该网络在超过50个国家/地区提供住宅代理服务，并宣称用户可享受“100%匿名”服务。有证据表明，该平台于2025年5月或6月左右上线。其基础设施会根据设备类型和型号对受感染的设备进行划分，因为并非所有受感染的设备都会与所有命令服务器通信。这种划分方式表明其采用了结构化且可扩展的僵尸网络管理策略。

代理网络已被发现遭到多个威胁行为者的利用。然而，由于网络中的路由器有时会同时感染其他恶意软件家族，导致难以确定具体恶意活动的责任方，因此归因仍然十分困难。

路由器用户的防御措施

KadNap 的出现凸显了家庭和小型办公环境中安全防护薄弱的边缘设备所带来的日益增长的风险。网络防御者和个人用户可以通过采取以下几种安全措施来显著降低风险：

• 确保路由器和网络设备使用最新的固件和安全更新。
• 必要时，定期重启设备以清除临时恶意进程。
• 请使用强密码和唯一密码替换默认凭据。
• 限制并保护管理界面。
• 将已达到使用寿命终点且不再接收厂商安全更新的路由器淘汰并更换。

专为隐蔽攻击而设计的去中心化僵尸网络

KadNap 与许多支持匿名代理服务的传统僵尸网络不同，它采用了去中心化的点对点架构。通过利用 Kademlia DHT 协议，该僵尸网络将控制权分散到受感染的设备上，而不是依赖于容易识别的中心化服务器。

这种架构为运营商提供了更具弹性的通信通道，这些通道更难被检测、封锁或拆除。其战略目标很明确：维持运营连续性，规避安全监控，并增加网络安全团队的防御响应难度。