Ботнет, известный как Кимвулф заразила более 2 миллионов устройств Android, туннелируя через домашние прокси-сети, согласно данным Synthient.
«Ключевые участники, участвующие в ботнете Kimwolf, замечены за монетизацию ботнета через установку приложений, продажу пропускной способности жилых прокси и продажу его DDoS-функций», — говорится в аналитике, опубликованном на прошлой неделе.
Kimwolf впервые был публично задокументирован QiAnXin XLab в прошлом месяце, когда он фиксировал свои связи с другим ботнетом под названием AISURU. Активный как минимум с августа 2025 года, Kimwolf оценивается как вариант AISURU для Android. Появляется всё больше доказательств того, что ботнет на самом деле стоит за серией рекордных DDoS-атак в конце прошлого года.
Вредоносное ПО превращает заражённые системы в каналы для передачи вредоносного трафика и организации масштабных распределённых атак типа отказа в обслуживании (DDoS). Подавляющее большинство заражений сосредоточено во Вьетнаме, Бразилии, Индии и Саудовской Аравии, при этом Synthient фиксирует примерно 12 миллионов уникальных IP-адресов в неделю.
Атаки, распространяющие ботнет, в основном нацелены на устройства Android, использующие открытый сервис Android Debug Bridge (ADB), использующий инфраструктуру сканирования, использующую домашние прокси для установки вредоносного ПО. Не менее 67% устройств, подключённых к ботнету, не аутентифицированы и по умолчанию имеют включённый ADB.
Предполагается, что эти устройства заранее заражены наборами для разработки программного обеспечения (SDK) от прокси-провайдеров, чтобы тайно зарегистрировать их в ботнет. Среди самых скомпрометированных устройств — неофициальные смарт-телевизоры на базе Android и приставки.
Ещё в декабре 2025 года заражения Kimwolf использовали прокси-IP-адреса, предлагаемые для аренды китайской компанией IPIDEA, которая 27 декабря внедрила патч безопасности для блокировки доступа к локальным сетевым устройствам и различным чувствительным портам. IPIDEA называет себя «ведущим мировым поставщиком IP-прокси» с более чем 6,1 миллионом ежедневно обновляемых IP-адресов и 69 000 новых IP-адресов ежедневно.
Другими словами, modus operandi заключается в использовании прокси-сети IPIDEA и других поставщиков прокси-провайдеров, а затем туннелировании через локальные сети систем, использующих прокси-программное обеспечение, чтобы избавиться от вредоносного ПО. Основная полезная нагрузка прослушивается на порте 40860 и подключается к 85.234.91[.]247:1337 для получения дальнейших команд.
«Масштаб этой уязвимости был беспрецедентным, подвергнув миллионы устройств атакам», — заявила Synthient.
Кроме того, атаки заражают устройства сервисом монетизации с пропускной способностью, известным как Plainproxies Byteconnect SDK, что указывает на более широкие попытки монетизации. SDK использует 119 ретрансляторов, которые принимают прокси-задачи от командно-управляющего сервера, которые затем выполняются скомпрометированным устройством.
Synthient заявила, что обнаружила инфраструктуру, используемую для проведения атак с использованием удостоверений данных, направленных против серверов IMAP и популярных онлайн-сайтов.
«Стратегия монетизации Kimwolf стала очевидной с самого начала благодаря агрессивной продаже жилых прокси», — заявили в компании. «Предлагая прокси по цене от 0,20 цента за ГБ или $1,4K в месяц за неограниченную пропускную способность, он получит раннее внедрение у нескольких прокси-провайдеров.»
«Обнаружение заражённых телевизионных приставок и монетизация этих ботов через вторичные SDK, такие как Byteconnect, свидетельствуют о углублении отношений между злоумышленниками и коммерческими прокси-провайдерами.»
Для снижения риска прокси-провайдерам рекомендуется блокировать запросы на адреса RFC 1918 — это частные IP-адреса, определённые для использования в частных сетях. Организациям рекомендуется блокировать устройства с неаутентифицированными оболочками ADB, чтобы предотвратить несанкционированный доступ.
ЛУЧШИЙ 
ЕВРОПЕЙСКОГО СОЮЗА 
Cтратегический карточный симулятор 