История, которую вы читаете, — это серия сенсаций, спрятанных внутри гораздо более срочного интернет-совета по безопасности. Уязвимость, о которой идёт речь, используется уже несколько месяцев, и пришло время для более широкого осведомлённого об этой угрозе. Короче говоря, всё, что вы думали знать о безопасности внутренней сети за вашим интернет-роутером, вероятно, теперь уже опасно устарело.

За последние несколько месяцев наблюдался стремительный рост нового ботнета под названием Кимвулф , который, по мнению экспертов, заразил более 2 миллионов устройств по всему миру. Вредоносное ПО Kimwolf заставляет скомпрометированные системы передавать вредоносный и злоупотребляющий интернет-трафик — такой как рекламное мошенничество, попытки захвата аккаунтов и массовый скрейпинг контента — а также участвовать в разрушительных распределённых атаках отказа в обслуживании (DDoS), способных вывести из строя практически любой сайт на несколько дней.

Однако важнее ошеломляющих размеров Kimwolf является дьявольский способ быстрого распространения: эффективное туннелирование через различные «жилые прокси» сети в локальные сети прокси-конечных точек, а также дальнейшее заражение устройств, скрытых за предполагаемой защитой файрвола пользователя и интернет-роутера.

Жилые прокси-сети продаются как способ анонимизации и локализации своего веб-трафика в определённом регионе, и самые крупные из этих сервисов позволяют направлять трафик через устройства практически в любой стране или городе по всему миру.

Вредоносное ПО, превращающее интернет-соединение конечного пользователя в прокси-узел, часто прилагается в комплекте с сомнительными мобильными приложениями и играми. Эти жилые прокси-программы также часто устанавливаются через неофициальные приставки Android TV продаются сторонними продавцами на популярных сайтах электронной коммерции, таких как Amazon , BestBuy, Newegg , и Walmart .

Эти телевизоры варьируются в цене от $40 до $400, продаются под ошеломляющим диапазоном безымянных брендов и номеров моделей, и Часто рекламируются как способ бесплатной трансляции определённых типов видеоконтента по подписке . Но в этой сделке есть скрытая цена: как мы расскажем чуть позже, эти телевизоры составляют значительную часть из примерно двух миллионов систем, заражённых Kimwolf.

Kimwolf также хорошо внедряет множество цифровых фоторамок, подключённых к Интернету, которые также широко распространены на крупных сайтах электронной коммерции. В ноябре 2025 года исследователи из Квокка опубликовал отчёт (PDF), подробно описывающий серьёзные проблемы безопасности в цифровых рамках для фотографий на базе Android Приложение Uhale — включая бестселлерную цифровую рамку Amazon по состоянию на март 2025 года.

Существуют две серьёзные проблемы с безопасностью этих фоторамок и неофициальных приставок для Android TV. Во-первых, значительная часть из них оснащена заранее установленным вредоносным ПО или требует от пользователя скачивания неофициального Android App Store и вредоносного ПО, чтобы использовать устройство для его заявленной цели (пиратство видеоконтента). Самые типичные из этих незваных гостей — небольшие программы, превращающие устройство в жилой прокси-узел, который перепродаётся другим.

Вторая крупная проблема безопасности с этими фоторамками и несанкционированными Android TV-приставками заключается в том, что они зависят от нескольких микрокомпьютерных плат, подключённых к Интернету, без чётких требований к безопасности или аутентификации. Другими словами, если вы находитесь в одной сети с одним или несколькими такими устройствами, вы, скорее всего, можете одновременно их скомпрометировать, отправив одну команду по сети.

НЕТ МЕСТА ЛУЧШЕ 127.0.0.1

Сочетание этих двух реалий безопасности вышло на первый план в октябре 2025 года, когда студент бакалавриата по информатике в Технологический институт Рочестера начал внимательно следить за ростом Kimwolf и ежедневно взаимодействовать напрямую с её создателями.

Бенджамин Брандейдж 22-летний основатель охранной компании Synthient , стартап, который помогает Компании обнаруживают прокси-сети и узнают, как эти сети подвергаются злоупотреблениям. Проводя большую часть своих исследований по Кимвулфу во время подготовки к финальным экзаменам, Брандейдж в конце октября 2025 года рассказал KrebsOnSecurity в конце октября 2025 года, что подозревает, что Кимвольф — это новый вариант на базе Android Айсуру , ботнетом, который ошибочно обвинили в ряде рекордных DDoS-атак прошлой осенью.

Брандейдж говорит, что Kimwolf быстро рос, злоупотребляя явной уязвимостью многих крупнейших в мире сервисов жилых прокси-сервисов. Суть слабости, объяснил он, заключалась в том, что эти прокси-сервисы недостаточно делали для предотвращения пересылки запросов на внутренние серверы отдельных прокси-конечных точек.

Большинство прокси-сервисов предпринимают базовые меры, чтобы предотвратить «переход платных клиентов вверх по потоку» в локальную сеть прокси-конечных точек, явно отказывая в запросах на локальные адреса, указанные в RFC-1918, включая известные диапазоны Network Address Translation (NAT) 10.0.0.0/8, 192.168.0.0/16 и 172.16.0.0/12. Эти диапазоны позволяют нескольким устройствам в частной сети выходить в Интернет с помощью одного публичного IP-адреса, и если вы запускаете любую домашнюю или офисную сеть, ваше внутреннее адресное пространство работает в пределах одного или нескольких из этих диапазонов NAT.

Однако Брандейдж обнаружил, что люди, управляющие Kimwolf, научились напрямую общаться с устройствами во внутренних сетях миллионов домашних прокси-конечных точек, просто изменив свои Система доменных имён (DNS) настройки, соответствующие диапазонам адресов RFC-1918.

«Можно обойти существующие ограничения домена, используя DNS-записи, указывающие на 192.168.0.1 или 0.0.0.0», — написал Брандейдж в первом в своем роде рекомендации по безопасности, отправленном почти дюжине домашних прокси-провайдеров в середине декабря 2025 года. «Это даёт злоумышленнику возможность отправлять тщательно продуманные запросы на текущее устройство или устройство в локальной сети. Это активно эксплуатируется, и злоумышленники используют её для удаления вредоносного ПО.»

Как и упомянутые выше цифровые фоторамки, многие из этих жилых прокси-сервисов работают исключительно на мобильных устройствах, на которых запущена какая-то игра, VPN или другое приложение с скрытым компонентом, превращающим мобильный телефон пользователя в жилой прокси — часто без какого-либо значимого согласия.

В опубликованном сегодня отчёте Synthient сообщил, что ключевые участники Kimwolf были замечены монетизацией ботнета через установку приложений, продажу пропускной способности домашних прокси и продажу его DDoS-функций.

«Synthient ожидает наблюдать растущий интерес среди злоумышленников к получению неограниченного доступа к прокси-сетям для заражения устройств, доступа к сети или конфиденциальной информации», — отмечается в докладе. «Kimwolf подчёркивает риски, связанные с незащищёнными прокси-сетями, и их жизнеспособность как вектора атаки.»

ОТЛАДОЧНЫЙ МОСТ ANDROID

После покупки ряда неофициальных моделей Android TV приставок, наиболее широко представленных в ботнете Kimwolf, Брандейдж также обнаружил, что уязвимость прокси-сервиса была лишь частью стремительного роста популярности Kimwolf: он также обнаружил, что практически все тестированные им устройства поставлялись с завода с мощной функцией под названием Мост отладки Android Режим (ADB) включен по умолчанию.

ADB — это диагностический инструмент, предназначенный исключительно для использования в процессах производства и тестирования, поскольку он позволяет удалённо настраивать устройства и даже обновляться с помощью новой (и потенциально вредоносной) прошивки. Однако поставка таких устройств с включённым ADB создаёт кошмар для безопасности, потому что в таком состоянии они постоянно слушают и принимают неаутентифицированные запросы на подключение.

Например, открытие командной строки и введение «adb connect» вместе с локальным IP-адресом уязвимого устройства и сразу же «:5555», очень быстро предоставит неограниченный административный доступ «супер-пользователя».

Брандейдж сообщил, что к началу декабря он выявил однозначное пересечение между новыми заражениями Кимвольфом и прокси-IP-адресами, предлагаемыми для аренды китайцами IPIDEA , в настоящее время, по всем данным, является крупнейшей в мире сетью жилых прокси-серверов.

«Kimwolf почти удвоился в размерах на прошлой неделе, просто используя пул прокси-провайдеров IPIDEA», — сказал Брандейдж KrebsOnSecurity в начале декабря, готовясь уведомить IPIDEA и ещё 10 прокси-провайдеров о своих исследованиях.

Брандейдж сообщил, что Synthient впервые подтвердил 1 декабря 2025 года, что операторы ботнета Kimwolf прокладывали туннели обратноough прокси-сеть IPIDEA и в локальные сети систем, использующих прокси-программное обеспечение IPIDEA. Злоумышленники сбросили вредоносное ПО, направив заражённые системы посетить определённый интернет-адрес и вызвать пароль «Кребсфайвхэд Индастриз чтобы разблокировать вредоносную загрузку.

30 декабря Synthient сообщил, что отслеживает примерно 2 миллиона IPIDEA-адресов, использованных Kimwolf на предыдущей неделе. Брандейдж сказал, что видел, как Kimwolf восстанавливается после одной недавней попытки удаления, направленной против управляющих серверов — от почти нуля до двух миллионов заражённых систем, просто туннелируя прокси-конечные точки IPIDEA в течение нескольких дней.

Брандейдж отметил, что у IPIDEA есть, казалось бы, бесконечный запас новых прокси, Рекламный доступ к более чем 100 миллионам жилых прокси-концев по всему миру только за прошлую неделю . Анализируя открытые устройства, входящие в пул прокси IPIDEA, Synthient сообщил, что обнаружил более двух третей — это устройства Android, которые можно было скомпрометировать без необходимости аутентификации .

УВЕДОМЛЕНИЕ И РЕАГИРОВАНИЕ НА БЕЗОПАСНОСТЬ

После выявления тесного пересечения IP-адресов, заражённых Kimwolf, и адресов, продаваемых IPIDEA, Брандейдж с нетерпением хотел сделать свои выводы публичными: уязвимость явно эксплуатировалась уже несколько месяцев, хотя, похоже, о ней знали лишь несколько киберпреступников. Но он также понимал, что выход на биржу без предоставления уязвимым прокси-провайдерам возможности понять и исправить это, приведёт к ещё большему массовому злоупотреблению этими сервисами со стороны дополнительных киберпреступных групп.

17 декабря Брандейдж отправил уведомление о безопасности всем 11, по-видимому, пострадавшим поставщикам прокси-провайдеров, надеясь дать каждому хотя бы несколько недель на признание и устранение основных проблем, выявленных в его отчёте, до того, как он станет публичным. Многие прокси-провайдеры, получившие уведомление, были реселлерами IPIDEA, которые маркировали сервис компании.

KrebsOnSecurity впервые обратился за комментарием к IPIDEA в октябре 2025 года, когда освещал материал о том, что прокси-сеть, по-видимому, выиграла от роста ботнета Aisuru, администраторы которого, по-видимому, перешли от использования ботнета преимущественно для DDoS-атак на простую установку прокси-программы IPIDEA и других аспектов.

25 декабря KrebsOnSecurity получила электронное письмо от сотрудника IPIDEA, идентифицированного только как «Оливер », которые заявили, что обвинения в том, что IPIDEA получили выгоду от роста Айсуру, были необоснованными.

«После всесторонней проверки записей отслеживаемости IP и соглашений о сотрудничестве поставщиков мы не обнаружили связи между нашими IP-ресурсами и ботнетом Aisuru, а также не получили никаких уведомлений от авторитетных учреждений о причастности наших IP к вредоносной деятельности», — написал Оливер. «Кроме того, для внешнего сотрудничества мы внедряем трёхуровневый механизм проверки для поставщиков, охватывающий квалификацию…