Botnet Kimwolf a infectat aproximativ 1,8 milioane de dispozitive Android, în special televizoare smart, set‑top box‑uri și tablete, provocând atacuri DDoS de amploare. Cercetătorii de la QiAnXin XLab au confirmat că rețeaua devine rapid una dintre cele mai agresive amenințări în domeniul securității cibernetice.
Ce este Kimwolf și cum a ajuns să infecteze milioane de dispozitive
Botnet Kimwolf rulează pe Android NDK, permițând execuția pe o gamă largă de echipamente. Țintele principale sunt televizoarele inteligente și TV‑box‑urile cu firmware slab securizat. Printre modelele afectate se numără TV BOX, SuperBOX, X96Q, MX10 și diverse SmartTV, fără a se limita la un producător.
Principalele regiuni afectate includ:
– Brazilia, India, Statele Unite, Argentina, Africa de Sud și Filipine;
– alte țări din America Latină și Asia, indicând o distribuție globală.
Mecanismul de infectare rămâne neclar, dar experții suspectează:
* instalarea de aplicații modificate;
* exploatarea vulnerabilităților din firmware;
* conexiuni criptate către serverele de comandă și control.
Atacuri DDoS la scară fără precedent și legătura cu un alt botnet celebru
Între 19 și 22 noiembrie 2025, botnet Kimwolf a generat circa 1,7 miliarde de comenzi DDoS, iar unul dintre domeniile sale de comandă a intrat temporar în topul celor 100 de domenii cele mai accesate de Cloudflare, depășind chiar Google. Analiza codului a revelat reutilizarea componentelor din botnet‑ul AISURU, sugerând că ambele rețele aparțin aceluiași grup de atacatori.
Conexiunile dintre Kimwolf și AISURU includ:
– utilizarea acelorași scripturi de infectare;
– certificate de semnare identice în anumite cazuri;
– prezența ambelor botnet‑uri pe aceleași dispozitive.
Tehnici avansate de ascundere și monetizare a dispozitivelor compromise
Peste 96 % din comenzile botnet Kimwolf nu sunt legate de atacuri DDoS, ci de utilizarea dispozitivelor ca proxy pentru vânzarea lățimii de bandă. Pentru a ascunde infrastructura, botnetul a migrat la Ethereum Name Service, o metodă cunoscută ca EtherHiding, care plasează adresa serverului de control într-un smart contract pe blockchain.
Caracteristici tehnice ale botnet Kimwolf:
– comunicații criptate prin TLS;
– suport pentru 13 tipuri de atacuri DDoS (UDP, TCP, ICMP);
– utilizarea dispozitivelor ca noduri de redirecționare a traficului anonim.
Țintele identificate până acum includ infrastructuri din Statele Unite, China, Franța, Germania și Canada, evidențiind impactul global.
Evoluția amenințărilor cibernetice indică o schimbare de la routere și camere IP către televizoare smart și TV‑box‑uri, dispozitive rar actualizate și foarte prezente în gospodării.
Importanța informării continue și a monitorizării evoluțiilor în domeniul securității cibernetice rămâne esențială pentru a contracara amenințări precum botnet Kimwolf.
