Kimwolf Botnet
网络安全专家发现了一个名为 Kimwolf 的大规模分布式拒绝服务 (DDoS) 僵尸网络,该网络已感染超过 180 万台设备,其中包括安卓电视、机顶盒和平板电脑。初步调查显示,该僵尸网络可能与臭名昭著的 AISURU 僵尸网络存在关联。这一发现凸显了针对物联网设备的恶意软件日益复杂化,并强调了保护联网设备安全至关重要。
目录
金沃尔夫的解剖
Kimwolf 使用原生开发工具包 (NDK) 构建,并融合了多种超越传统 DDoS 攻击的功能。主要特性包括:
- 代理转发
- 反向 shell 访问
- 文件管理功能
该僵尸网络的恶意软件设计为在每个设备上运行单个进程,解密嵌入式命令与控制 (C2) 域,使用 DNS-over-TLS 解析 C2 IP,并执行从其操作员处收到的命令。
破纪录的规模和活动
据报道,Kimwolf在2025年11月19日至22日短短三天内发出了17亿条DDoS攻击指令。其C2域名之一14emeliaterracewestroxburyma02132[.]su甚至一度短暂跻身Cloudflare前100名域名之列,暂时超越了谷歌。
主要感染目标包括家用电视机顶盒,例如:
- 电视盒、SuperBOX、HiDPTAndroid
- P200、X96Q、XBOX、智能电视、MX10
从地理上看,感染病例集中在巴西、印度、美国、阿根廷、南非和菲律宾,但确切的传播方式仍不清楚。
演化与韧性
Kimwolf展现了极强的适应能力。其C2域名在2025年12月至少被关闭三次,促使运营者采用以太坊名称服务(ENS)域名来加强基础设施。该恶意软件的最新版本集成了EtherHiding技术,该技术通过智能合约获取真实的C2 IP地址,并通过异或(XOR)运算对其进行转换,从而大大增加了关闭的难度。
与AISURU和共享基础设施的连接
有证据表明 Kimwolf 与 AISURU 僵尸网络有关,该网络以打破 DDoS 攻击记录而闻名:
- 2025 年 9 月至 11 月期间,这两个僵尸网络同时存在于同一台受感染的设备上。
- APK 包和代码签名证书(“John Dinglebert Dinglenut VIII VanSack Smith”)的相似性表明它们具有共同的开发起源。
- 下载服务器 (93.95.112[.]59) 确认存在引用 Kimwolf 和 AISURU APK 的脚本。
这种关系暗示可能存在同一个黑客组织同时操控这两个僵尸网络,以最大限度地扩大攻击范围并逃避检测。
攻击能力和货币化
Kimwolf 支持 13 种不同的 DDoS 攻击方法,支持 UDP、TCP 和 ICMP 协议,攻击目标包括美国、中国、法国、德国和加拿大等国家。值得注意的是,超过 96% 的攻击指令都旨在利用受感染的节点作为代理服务,这表明攻击者具有强烈的牟利动机。
部署到受损设备上的其他组件包括:
- 基于 Rust 的命令客户端——构建代理网络
- ByteConnect SDK – 为开发者和设备所有者实现物联网流量货币化
- TLS 加密可保护所有通信,同时对 C2 服务器和 DNS 解析器的敏感数据进行加密,从而提高操作隐蔽性。
巨型僵尸网络的更广泛背景
自2016年Mirai出现以来,大型物联网僵尸网络已经发生了显著变化。早期版本主要针对宽带路由器和摄像头,但像Badbox、Bigpanzi、Vo1d和Kimwolf这样的现代僵尸网络正日益将目标转向智能电视和电视盒,这反映出攻击者的兴趣正从智能电视转向高带宽消费设备。
