Новый ботнет Интернета вещей (IoT) под названием Кимвулф распространилась более чем на 2 миллиона устройств, вынуждая заражённые системы участвовать в масштабных распределённых атаках отказа в обслуживании (DDoS) и передавать другой вредоносный и злоупотребляющий интернет-трафик. Способность Kimwolf сканировать локальные сети скомпрометированных систем на предмет заражения других IoT-устройств делает его серьёзной угрозой для организаций, и новые исследования показывают, что Kimwolf удивительно распространён в государственных и корпоративных сетях.

Изображение: Shutterstock, @Elzicon.

Kimwolf быстро росла в последние месяцы 2025 года, обманывая различные сервисы «жилых прокси», заставляя их передавать вредоносные команды устройствам в локальных сетях этих прокси-конечных точек. Жилые прокси продаются как способ анонимизации и локализации веб-трафика в определённом регионе, и самые крупные из этих сервисов позволяют клиентам направлять свою интернет-активность через устройства практически в любой стране или городе по всему миру.

Вредоносное ПО, превращающее интернет-соединение человека в прокси-узел, часто тихо сопровождается различными мобильными приложениями и играми, и обычно заставляет заражённое устройство ретранслировать вредоносный и злоупотребленный трафик — включая рекламное мошенничество, попытки захвата аккаунтов и массовый скрейпинг контента.

Kimwolf в основном нацеливался на прокси из IPIDEA , китайский сервис, у которого миллионы прокси-эндпойнтов для аренды в каждую неделю. Операторы Kimwolf обнаружили, что могут передавать вредоносные команды внутренним сетям IPIDEA-прокси-конечных точек, а затем программно сканировать и заражать другие уязвимые устройства в локальной сети каждой конечной точки.

Большинство систем, скомпрометированных через локальное сканирование сети Kimwolf, были неофициальными стриминговыми приставками на Android TV. Обычно это устройства Android Open Source Project — а не устройства с Android TV OS или сертифицированные Android-устройства Play Protect — и их обычно позиционируют как способ просмотра неограниченного (читай: пиратского) видеоконтента с популярных подписных стриминговых сервисов за единовременную плату.

Однако многие из этих телевизоров поставляются потребителям с предустановленным домашним прокси-программным обеспечением. Более того, у них нет реальной безопасности или аутентификации: если вы можете напрямую общаться с телевизором, вы также легко можете скомпрометировать её с помощью вредоносного ПО.

Хотя IPIDEA и другие затронутые прокси-провайдеры недавно предприняли шаги для блокировки таких угроз, как Kimwolf, от перехода в их конечные точки (по сообщениям, с разной степенью успеха), вредоносное ПО Kimwolf остаётся на миллионах заражённых устройств.

Скриншот прокси-сервиса IPIDEA.

Тесная связь Kimwolf с домашними прокси-сетями и скомпрометированными Android TV-приставками может означать, что в корпоративных сетях будет относительно мало случаев заражения. Однако охранная фирма Infoblox Недавний обзор клиентского трафика показал почти 25 процентов из них сделали запрос на доменное имя, связанное с Kimwolf, с 1 октября 2025 года , когда ботнет впервые проявил признаки жизни.

Infoblox обнаружила, что пострадавшие клиенты базируются по всему миру и работают в самых разных отраслевых отраслях — от образования и здравоохранения до государственного управления и финансов.

«Для ясности: это говорит о том, что почти 25% клиентов имели хотя бы одно устройство, являвшееся конечной точкой в домашнем прокси-сервисе, на который нацелены операторы Kimwolf», — объяснил Infoblox. «Такое устройство, возможно, телефон или ноутбук, фактически было присвоено злоумышленником для изучения локальной сети на наличие уязвимых устройств. Запрос означает, что был сделан скан, а не скомпрометированы новые устройства. Боковое перемещение не сработает, если не будет обнаружено уязвимых устройств или если разрешение DNS будет заблокировано.»

Synthient , стартап, отслеживающий прокси-сервисы и первым 2 января раскрыл уникальные методы распространения Kimwolf, обнаружил, что прокси-конечные точки от IPIDEA встречаются в тревожных количествах в государственных и академических учреждениях по всему миру. Synthient заявила, что зафиксировала как минимум 33 000 затронутых интернет-адресов в университетах и колледжах, а также почти 8 000 IPIDEA прокси в различных государственных сетях США и иностранных государств.

Топ-50 доменных имён, которые ищут пользователи сервиса residential proxy IPIDEA, согласно Synthient.

На вебинере 16 января эксперты службы отслеживания прокси Ответвление профильные интернет-адреса, связанные с IPIDEA и 10 другими прокси-сервисами, которые считались уязвимыми к трюкам Kimwolf. Spur нашла жилых прокси почти в 300 государственных сетях, 318 коммунальных компаний, 166 медицинских компаний или больниц, а также 141 компания в банковской и финансовой сфере.

«Я посмотрел на 298 [government] Принадлежит и управляется [networks], и многие из них были из DoD [U.S. Department of Defense], что довольно пугает, что в DoD есть IPIDEA и другие прокси-сервисы внутри», — соучредитель Spur Райли Килмер сказал. «Я не понимаю, как эти предприятия устроили такие сети. Возможно, так [infected devices] они разделены в сети, и даже если бы у вас был локальный доступ, это мало что значит. Однако об этом стоит помнить. Если устройство заходит, всё, к чему оно имеет доступ к прокси, будет иметь доступ.»

Килмер отметил, что Kimwolf демонстрирует, как заражение одним домашним прокси может быстро привести к более серьёзным проблемам для организаций, которые хранят незащищённые устройства за межсетевыми экранами, отметив, что прокси-сервисы представляют потенциально простой способ для злоумышленников проверить другие устройства в локальной сети целевой организации.

«Если ты знаешь, что у тебя есть [proxy] Инфекции, находящиеся в компании, вы можете выбрать это [network] чтобы выйти из и затем переключиться на местное место», — сказал Килмер. «Если у тебя есть идея, с чего начать или искать, теперь у тебя есть опора в компании или предприятии, основанной именно на этом.»

Это третья история в нашей серии о ботнете Kimwolf. На следующей неделе мы пролём свет на множество китайских лиц и компаний, связанных с Ботнет Badbox 2.0 , совокупное название, данное большому количеству моделей Android TV для стриминговых приставок, которые поставляются без встроенной защиты или аутентификации, а также с предустановленным домашним прокси-вредоносным ПО.

Дополнительная литература:

Ботнет Kimwolf преследует вашу локальную сеть

Кто получил выгоду от ботнетов Айсуру и Кимволф?

Сломанная система, питающая ботнеты (Synthient).