KadNap惡意軟體

網路安全研究人員發現了一種名為 KadNap 的新型惡意軟體，該軟體主要針對華碩路由器，並將其招募到殭屍網路中，用於代理惡意網路流量。該惡意軟體於 2025 年 8 月首次被發現，目前已感染全球超過 14,000 台裝置。分析表明，超過 60% 的受感染系統位於美國，而台灣、香港、俄羅斯、英國、澳洲、巴西、法國、義大利和西班牙也檢測到了規模較小的感染集群。

儘管華碩路由器似乎是主要目標，但調查顯示，KadNap背後的業者已將攻擊範圍擴大到更廣泛的邊緣網路設備。這種擴張表明，他們有意擴大殭屍網路基礎設施的規模和彈性。

透過 Kademlia 技術實現點對點隱蔽

KadNap行動的一個顯著特徵是它依賴Kademlia分散式雜湊表（DHT）協定的修改版本。該協定整合到點對點架構中，透過將命令系統隱藏在分散式節點內，從而掩蓋殭屍網路基礎設施的位置。

受感染的設備透過分散式哈希表 (DHT) 網路通信，以發現並連接到命令與控制 (C2) 伺服器。透過將通訊分散到去中心化的環境中，惡意軟體避免了對單一基礎設施點的依賴，從而顯著增加了傳統檢測和清除工作的難度。這種方法有效地將惡意流量混入合法的點對點網路活動中，使防禦者的監控和乾擾變得更加困難。

感染機轉與持續生存策略

感染鏈始於一個名為 aic.sh 的 shell 腳本，該腳本從 IP 位址為 212.104.141.140 的命令伺服器下載。該腳本啟動了將受感染設備整合到殭屍網路點對點生態系統的過程。

該腳本透過建立定時任務（cron job）來實現持久化，該任務每小時的第 55 分鐘下載同一個腳本。每次下載後，腳本都會被重新命名為“.asusrouter”並執行。一旦持久化成功，該腳本就會下載一個惡意 ELF 二進位文件，將其重命名為「kad」並運行，從而有效地部署 KadNap 惡意軟體的有效載荷。該惡意軟體經過精心設計，可在使用 ARM 和 MIPS 處理器的裝置上運行，使其能夠入侵多種路由器架構。

基於時間的對等發現和網絡協調

KadNap 內建了一種機制，用於同步其去中心化網路中的活動。此惡意軟體會連接到網路時間協定 (NTP) 伺服器以取得目前系統時間，並將其與受感染裝置的運行時間資訊結合。這些值用於產生雜湊值，以幫助受感染設備在分散式網路中定位其他節點。

這個過程使受感染的系統能夠在不依賴集中式命令結構的情況下發現其他節點、取得指令並下載其他惡意檔案。諸如 fwr.sh 和 /tmp/.sose 之類的輔助腳本還會執行其他任務，包括停用安全外殼協定 (SSH) 使用的標準 TCP 連接埠 22，以及提取用於進一步通訊的 C2 伺服器位址和連接埠組合清單。

透過代理服務實現殭屍網路的商業化

一旦路由器被攻破，它們就會被整合到一個名為 Doppelgänger 的商業代理網路中，該網路透過 doppelganger.shop 網站進行銷售。安全研究人員評估認為，這項服務是 Faceless 的更名版本，Faceless 是先前與 TheMoon 惡意軟體相關的代理平台。

根據該服務發布的宣傳資料，該網絡在超過50個國家/地區提供住宅代理服務，並宣稱用戶可享有「100%匿名」服務。有證據表明，該平台於2025年5月或6月左右上線。其基礎設施會根據設備類型和型號對受感染的設備進行劃分，因為並非所有受感染的設備都會與所有命令伺服器通訊。這種劃分方式顯示其採用了結構化且可擴展的殭屍網路管理策略。

代理網路已被發現遭到多位威脅行為者的利用。然而，由於網路中的路由器有時會同時感染其他惡意軟體家族，導致難以確定具體惡意活動的責任方，因此歸因仍然十分困難。

路由器使用者的防禦措施

KadNap 的出現凸顯了家庭和小型辦公環境中安全防護薄弱的邊緣設備所帶來的日益增長的風險。網路防禦者和個人使用者可以透過採取以下幾種安全措施來大幅降低風險：

• 確保路由器和網路設備使用最新的韌體和安全性更新。
• 必要時，定期重新啟動裝置以清除臨時惡意進程。
• 請使用強密碼和唯一密碼取代預設憑證。
• 限制並保護管理介面。
• 將已達到使用壽命終點且不再接收廠商安全更新的路由器淘汰並更換。

專為隱蔽攻擊而設計的去中心化殭屍網絡

KadNap 與許多支援匿名代理服務的傳統殭屍網路不同，它採用了去中心化的點對點架構。透過利用 Kademlia DHT 協議，該殭屍網路將控制權分散到受感染的裝置上，而不是依賴容易識別的中心化伺服器。

這種架構為營運商提供了更具彈性的通訊通道，這些通道更難被偵測、封鎖或拆除。其策略目標很明確：維持營運連續性，規避安全監控，並增加網路安全團隊的防禦應變難度。