根据奇安信XLab的研究,一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军,这些设备包括基于安卓系统的电视、机顶盒和平板电脑,并且可能与另一个名为 AISURU 的僵尸网络存在关联。
“Kimwolf是一个使用NDK编译的僵尸网络,” 该公司在今天发布的一份报告中表示。”除了典型的DDoS攻击能力外,它还集成了代理转发、反向Shell和文件管理功能。”
据估计,这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间,其一个C2域名曾登顶Cloudflare的全球前100域名榜单,甚至一度短暂超越谷歌。
Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球,其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而,恶意软件传播到这些设备的具体方式目前尚不清楚。
XLab表示,其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的”第四版”样本。自那以后,上月又发现了另外八个样本。
“我们观察到,Kimwolf的C2域名至少被未知方成功关闭了三次,迫使其升级策略,转而使用ENS来强化其基础设施,这展示了其强大的进化能力,” XLab研究人员说。
不仅如此,本月早些时候,XLab成功夺取了其中一个C2域名的控制权,从而得以评估该僵尸网络的规模。
Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联,后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测,攻击者在早期阶段重用了AISURU的代码,后来才选择开发Kimwolf僵尸网络以规避检测。
XLab表示,其中一些攻击可能并非仅来自AISURU,Kimwolf可能参与甚至主导了这些攻击。
“这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播,共存于同一批设备中,” 该公司表示。”它们实际上属于同一个黑客组织。”
这一评估基于上传到VirusTotal平台的APK包的相似性,在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据:一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。
恶意软件本身相当直接。一旦启动,它会确保在受感染设备上只运行一个进程实例,然后继续解密嵌入的C2域名,使用基于TLS的DNS获取C2 IP地址,并连接到该地址以接收和执行命令。
截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术,该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址,旨在使其基础设施对打击行动更具弹性。
具体来说,这涉及到从事务的”lol”字段中提取IPv6地址,然后取该地址的最后四个字节,并用密钥”0x93141715″进行异或运算以得到实际的IP地址。
除了加密与C2服务器和DNS解析器相关的敏感数据外,Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言,该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据,攻击目标位于美国、中国、法国、德国和加拿大。
进一步分析确定,超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分,一个基于Rust的命令客户端模块被部署以形成代理网络。
同时分发给节点的还有ByteConnect SDK,这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。
“巨型僵尸网络起源于2016年的Mirai,感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上,” XLab表示。”然而,近年来,诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露,这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容