Kimwolf Botnet

網路安全專家發現了一個名為 Kimwolf 的大規模分散式阻斷服務 (DDoS) 殭屍網絡，該網絡已感染超過 180 萬台設備，其中包括安卓電視、機上盒和平板電腦。初步調查顯示，該殭屍網路可能與臭名昭著的 AISURU 殭屍網路有關聯。這項發現凸顯了針對物聯網設備的惡意軟體日益複雜化，並強調了保護連網裝置安全至關重要。

金沃爾夫的解剖

Kimwolf 使用原生開發工具包 (NDK) 構建，並融合了多種超越傳統 DDoS 攻擊的功能。主要特性包括：

• 代理轉發
• 反向 shell 訪問
• 檔案管理功能

此殭屍網路的惡意軟體設計為在每個裝置上執行單一進程，解密嵌入式命令與控制 (C2) 網域，使用 DNS-over-TLS 解析 C2 IP，並執行從其操作員收到的命令。

破紀錄的規模和活動

據報道，Kimwolf在2025年11月19日至22日短短三天內發出了17億條DDoS攻擊指令。其C2域名之一14emeliaterracewestroxburyma02132[.]su甚至一度短暫躋身Cloudflare前100名域名之列，暫時超越了谷歌。

主要感染目標包括家用電視機上盒，例如：

• 電視盒、SuperBOX、HiDPTAndroid
• P200、X96Q、XBOX、智慧電視、MX10

從地理上看，感染病例集中在巴西、印度、美國、阿根廷、南非和菲律賓，但確切的傳播方式仍不清楚。

演化與韌性

Kimwolf展現了極強的適應能力。其C2域名在2025年12月至少關閉三次，促使業者採用以太坊名稱服務（ENS）域名來加強基礎設施。該惡意軟體的最新版本整合了EtherHiding技術，該技術透過智慧合約獲取真實的C2 IP位址，並透過異或（XOR）運算對其進行轉換，從而大大增加了關閉的難度。

與AISURU和共享基礎設施的連接

有證據表明 Kimwolf 與 AISURU 殭屍網路有關，該網路以打破 DDoS 攻擊記錄而聞名：

• 2025 年 9 月至 11 月期間，這兩個殭屍網路同時存在於同一台受感染的裝置上。
• APK 套件和代碼簽署憑證（“John Dinglebert Dinglenut VIII VanSack Smith”）的相似性表明它們具有共同的開發起源。
• 下載伺服器 (93.95.112[.]59) 確認存在引用 Kimwolf 和 AsURU APK 的腳本。

這種關係暗示可能存在同一個駭客組織同時操控這兩個殭屍網絡，以最大限度地擴大攻擊範圍並逃避偵測。

攻擊能力和貨幣化

Kimwolf 支援 13 種不同的 DDoS 攻擊方法，支援 UDP、TCP 和 ICMP 協議，攻擊目標包括美國、中國、法國、德國和加拿大等國家。值得注意的是，超過 96% 的攻擊指令都旨在利用受感染的節點作為代理服務，這表明攻擊者俱有強烈的牟利動機。

部署到受損設備上的其他元件包括：

• 基於 Rust 的命令客戶端－建立代理網絡
• ByteConnect SDK – 為開發者和裝置擁有者實現物聯網流量貨幣化
• TLS 加密可保護所有通信，同時對 C2 伺服器和 DNS 解析器的敏感資料進行加密，從而提高操作隱蔽性。

巨型殭屍網路的更廣泛背景

自2016Mirai出現以來，大型物聯網殭屍網路已經發生了顯著變化。早期版本主要針對寬頻路由器和攝影機，但像Badbox、Bigpanzi、Vo1d和Kimwolf這樣的現代殭屍網路正日益將目標轉向智慧電視和電視盒，這反映出攻擊者的興趣正從智慧電視轉向高頻寬消費設備。