Kimwolf殭屍網路活動
安全研究人員發現了一個名為 Kimwolf 的大型安卓殭屍網絡,該網絡利用住宅代理網絡入侵了超過兩百萬台設備。該惡意軟體將普通消費級硬體轉變為全球攻擊平台,悄無聲息地路由惡意流量,並發動大規模分散式阻斷服務 (DDoS) 攻擊。觀測資料顯示,每週約有 1,200 萬個獨立 IP 位址受到影響,凸顯了這次攻擊的規模之大。
目錄
起源、演變及與愛蘇魯的聯繫
Kimwolf 於2025 年 12 月首次被公開分析,當時調查人員發現它與另一個名為 AISURU 的殭屍網路有密切的技術和基礎設施連結。證據表明,Kimwolf 至少從 2025 年 8 月起就已活躍,並且是 AISURU 基於安卓系統的升級版。研究人員越來越相信,該殭屍網路是去年年底發生的幾起破紀錄的 DDoS 攻擊的幕後推手。
全球感染足跡和標靶設備
儘管Kimwolf病毒在全球範圍內傳播,但感染主要集中在越南、巴西、印度和沙烏地阿拉伯。相當一部分受感染的系統是未經官方認證的安卓智慧電視和機上盒,其中許多設備出廠時就預先安裝了不安全的預設配置。
至少有 67% 的連網裝置暴露了未經認證的 Android 調試橋 (ADB) 服務,使其容易受到遠端控制。調查人員懷疑,許多此類產品在交付給消費者之前就預先安裝了與代理相關的軟體開發工具包 (SDK),實際上將它們納入了代理生態系統,而這些生態系統隨後會成為惡意軟體的傳播管道。
Kimwolf如何傳播與維持控制
Kimwolf 的業者依靠大型住宅代理網絡掃描互聯網,尋找運行暴露 ADB 服務的安卓設備。一旦發現目標,惡意軟體就會遠端安裝,將裝置變成流量中繼和攻擊節點。核心有效載荷會在 40860 埠上開啟一個監聽器,並與 85.234.91[.]247:1337 建立出站通信,從中接收操作指令。
截至2025年12月,仍有感染源被追溯到從中國IPIDEA公司租用的代理IP位址。 IPIDEA自稱是全球領先的IP代理服務供應商,每天更新超過610萬個IP位址,新增位址達6.9萬個。 12月27日,在有證據表明攻擊者透過客戶安裝的代理軟體建立隧道來存取內部設備後,IPIDEA發布了一項安全性更新,阻止了對本地網路和敏感連接埠的存取。
分析師稱,這種技術造成的風險是前所未有的,它將數百萬消費者係統直接置於自動化攻擊的威脅之下。
獲利模式:代理、酬載和付費攻擊
從一開始,Kimwolf的經濟動機就很明確。業者積極地將他們的基礎設施商業化,透過多種管道將受損設備轉化為獲利資產:
- 住宅代理訪問服務的銷售,廣告宣傳價格低至每 GB 0.20 美元,或每月約 1400 美元即可享受無限頻寬,這吸引了多家代理服務商的早期採用。
- 部署輔助貨幣化 SDK,最值得注意的是 Plainproxies Byteconnect SDK,它透過 119 個專用中繼伺服器將付費代理任務從命令伺服器路由到受感染的裝置。
- 濫用殭屍網路進行網路犯罪活動,包括大規模 DDoS 攻擊和針對 IMAP 服務和熱門線上平台的撞庫攻擊。
預先感染病毒的電視盒子的出現以及商業頻寬共享 SDK 的集成,強烈表明殭屍網路營運商與代理經濟的各個環節之間的合作正在加深。
防禦措施和風險降低
為減輕類似威脅,服務提供者和最終使用者環境之間需要採取協調一致的行動:
- 代理網路應阻止發送至 RFC 1918 位址範圍的流量,以防止外部客戶存取消費者設備所在的內部專用網路。
- 組織和個人必須停用或限制 Android 系統上的未經身份驗證的 ADB 訪問,特別是嵌入式和物聯網風格的設備,這些設備通常預設不安全。
如果沒有這些控制措施,住宅代理生態系統將繼續為大規模惡意軟體部署和殭屍網路擴張提供理想的掩護。
