Наша первая история 2026 года показала, как разрушительный новый ботнет под названием Кимвулф заразил более двух миллионов устройств, массово компрометируя огромное количество неофициальных устройств Стриминговые приставки Android TV . Сегодня мы рассмотрим цифровые улики, оставленные хакерами, операторами сетей и сервисами, которые, по-видимому, получили выгоду от распространения Kimwolf.

17 декабря 2025 года китайская охранная компания XLab опубликовал глубокое исследование Kimwolf, который заставляет заражённые устройства участвовать в распределённых атаках отказа в обслуживании (DDoS) и передавать злоупотребляющий и вредоносный интернет-трафик для так называемых «жилых прокси»-сервисов.

Программное обеспечение, превращающее устройство в жилой прокси, часто тихо поставляется в комплекте с мобильными приложениями и играми. Kimwolf специально нацелилась на домашнее прокси-программное обеспечение, установленное заводскими установками более чем на тысячу различных моделей несанкционированных Android TV стриминговых устройств. Очень быстро интернет-адрес домашнего прокси начинает направлять трафик, связанный с рекламным мошенничеством, попытками захвата аккаунтов и массовым скрапингом контента.

В отчёте XLab объясняется, что исследователи нашли «окончательные доказательства» того, что одни и те же киберпреступники и инфраструктура использовались для развертывания как Kimwolf, так и Aisuru botnet — более раннюю версию Kimwolf, которая также поработляла устройства для использования в DDoS-атаках и прокси-сервисах.

XLab с октября подозревает, что у Kimwolf и Aisuru одни и те же авторы и операторы, отчасти на основе общих изменений кода со временем. Однако компания заявила, что эти подозрения подтвердились 8 декабря, когда они стали свидетелями распространения обоих ботнетов по одному и тому же интернет-адресу 93.95.112[.]59 .

RESI RACK

Публичные записи показывают, что диапазон интернет-адресов, помеченный XLab, присвоен Лехи, штат Юта Resi Rack LLC . На сайте Resi Rack компания называется «Премиальным провайдером хостинга игровых серверов». Тем временем реклама Рези Рэк на интернет-форуме о заработке денег BlackHatWorld называйте её «Премиальной компанией по размещению жилых прокси и прокси-программных решений».

Соучредитель Resi Rack Кэссиди Хейлс сообщил KrebsOnSecurity, что его компания получила уведомление 10 декабря о том, что Kimwolf использует их сеть, «в котором подробно описывается, что происходит одним из наших клиентов, арендующих наши серверы».

«Когда мы получили это письмо, мы немедленно решили этот вопрос», — написал Хейлз в ответ на письмо с просьбой прокомментировать. «Мы очень разочарованы тем, что теперь это связано с нашим именем, и это вовсе не было целью нашей компании.»

Адрес Resi Rack Internet, упомянутый XLab 8 декабря, попал в поле зрения KrebsOnSecurity более чем за две недели до этого. Бенджамин Брандейдж основатель Synthient, стартапа, отслеживающего прокси-сервисы. В конце октября 2025 года Брандейдж сообщил, что люди, продающие различные прокси-сервисы, пользующиеся ботнетами Aisuru и Kimwolf, делают это на новом Discord-сервере под названием resi[.]Кому .

Когда KrebsOnSecurity присоединился к резервуару[.]в конце октября на канале Discord, будучи молчаливым наблюдателем, на сервере было менее 150 участников, включая «Шокс » — прозвище, которое использовал соучредитель Resi Rack мистер Хейлс — и его деловой партнёр «Линус », которые не ответили на запросы о комментариях.

Другие члены рези[.]в Discord-канале периодически публиковал новые IP-адреса, отвечающие за прокси трафика через ботнет Kimwolf. Как на скриншоте с RESI[.]вышеуказанное показывает, что адрес Resi Rack Internet, отмеченный XLab, использовался Kimwolf для направления прокси-трафика ещё 24 ноября, если не раньше. В целом, Synthient заявила, что отслеживала как минимум семь статических IP-адресов Resi Rack, подключённых к инфраструктуре прокси Kimwolf с октября по декабрь 2025 года.

Ни один из совладельцев Resi Rack не ответил на последующие вопросы. Оба уже почти два года активно продают прокси-сервисы через Discord. Согласно обзору сообщений в Discord, индексируемом киберразведывательной компанией Flashpoint , Shox и Linus провели большую часть 2024 года, продавая статические «прокси провайдеров» путём маршрутизации различных Блокировки интернет-адресов у крупнейших интернет-провайдеров США.

В феврале 2025 года AT&T объявила, что с 31 июля 2025 года больше не будет запускать маршруты для сетевых блоков, которые не принадлежат и не управляются AT&T (с тех пор другие крупные провайдеры предприняли аналогичные шаги). Менее чем через месяц Shox и Linus сообщили клиентам, что вскоре прекратят предлагать статические прокси интернет-провайдеров из-за этих изменений в политике.

ДОРТ и СНОУ

Заявленный владелец резиденции[.]на сервере Discord использовалось сокращённое имя пользователя «D». Этот инициал, похоже, сокращение от «hacker nick»Дорт » — имя, которое часто упоминалось в этих чатах в Discord.

Это прозвище «Дорт» появилось в недавних разговорах KrebsOnSecurity с «Форки », бразильца, который признал участие в маркетинге ботнета Aisuru с самого начала в конце 2024 года. Однако Форки решительно отрицал причастность к серии масштабных и рекордно побитых DDoS-атак во второй половине 2025 года, в которых обвиняли Айсуру, заявив, что к тому моменту ботнет уже был захвачен конкурентами.

Форки утверждает, что Дорт является резидентом Канады и одним из как минимум двух человек, которые сейчас контролируют ботнет Aisuru/Kimwolf. Другой отдельный Форки, названный мастером ботов Айсуру/Кимволф, носит прозвище «Снег .”

2 января — всего через несколько часов после публикации нашей статьи о Кимвулфе — исторический чат записывается на resi[.]были стерты без предупреждения и заменены ругательствами в адрес основателя Synthient. Через несколько минут после этого весь сервер исчез.

Позже в тот же день несколько более активных членов ныне несуществующего RESI[.]на Discord-сервер перешёл на канал Telegram, где публиковали личную информацию Брандейджа и в целом жаловались на невозможность найти надёжный «пуленепробиваемый» хостинг для своего ботнета.

Забавно, но пользователь по имени «Ричард Ремингтон» ненадолго появился на сервере группы в Telegram, чтобы опубликовать грубый скетч «С Новым годом», в котором утверждается, что Дорт и Сноу теперь контролируют 3,5 миллиона устройств, заражённых Айсуру и/или Кимвулф. Аккаунт Ричарда Ремингтона в Telegram впоследствии был удалён, но ранее он заявлял, что владелец управляет сайтом, обслуживающим DDoS-услуги по заказу или «стресс-сервисы», стремящиеся проверить их огневую мощь.

BYTECONNECT, PLAINPROXIES И 3XK TECH

Отчёты как от Synthient, так и от XLab показали, что Kimwolf использовался для развертывания программ, превращающих заражённые системы в интернет-ретрансляторы для нескольких домашних прокси-сервисов. Среди них был компонент, устанавливающий комплект разработки программного обеспечения (SDK) под названием ByteConnect, который распространяется провайдером, известным как Плейнпрокси .

ByteConnect заявляет, что специализируется на «этичной и бесплатной монетизации приложений», а Plainproxies рекламирует возможность предоставлять компаниям для скрапинга контента «неограниченные» пулы прокси. Однако Synthient сообщила, что при подключении к SDK ByteConnect они вместо этого наблюдали массовый наплыв атак на использование учетных данных, направленных против почтовых серверов и популярных онлайн-сайтов.

Поиск в LinkedIn показывает, что генеральный директор Plainproxies — Фридрих Крафт , в резюме которой указано, что он является соучредителем ByteConnect Ltd. Записи о публичной интернет-маршрутизации показывают, что мистер Крафт также управляет хостинговой компанией в Германии под названием 3XK Tech GmbH . Мистер Крафт не ответил на неоднократные запросы о интервью.

В июле 2025 года Cloudflare сообщил, что 3XK Tech (также известная как Drei-K-Tech) стала крупнейшим источником DDoS-атак на уровне приложений в Интернете. В ноябре 2025 года охранная фирма GreyNoise Intelligence было установлено, что интернет-адреса на 3XK Tech отвечали примерно за три четверти сканирования, проводившегося в то время на предмет недавно обнаруженной критической уязвимости в продуктах безопасности Palo Alto Networks.

В LinkedIn есть профиль другого сотрудника Plainproxies, Джулия Леви , который указан как соучредитель ByteConnect. Госпожа Леви не ответила на запросы о комментарии. В её резюме указано, что ранее она работала в двух крупных прокси-провайдерах: Netnut Proxy Network и Bright Data.

Synthient также отметила, что Plainproxies игнорировали их взаимодействие, отметив, что SDK Byteconnect продолжает оставаться активным на устройствах, скомпрометированных Kimwolf.

MASKIFY

В отчёте Synthient от 2 января говорится, что ещё один поставщик прокси-провайдеров, активно вовлечённый в продажу прокси Kimwolf, — Maskify , которая в настоящее время рекламирует на нескольких форумах киберпреступлений, что у неё более шести миллионов жилых интернет-адресов для аренды.

Maskify оценивает свою услугу по ставке 30 центов за гигабайт данных, передаваемых через их прокси. По данным Synthient, этот ценовой диапазон невероятно низок и значительно дешевле, чем у любого другого прокси-провайдера сегодня.

«Исследовательская команда Synthient получила скриншоты от других прокси-провайдеров, показывающих, как ключевые участники Kimwolf пытаются продать пропускную способность прокси в обмен на авансовые деньги», — отмечается в отчёте Synthient. «Такой подход, вероятно, способствовал раннему развитию, когда связанные члены тратили доходы на инфраструктуру и аутсорсинговые задачи по разработке. Обратите внимание, что реселлеры точно знают, что продают; Прокси по таким ценам не являются этичными источниками.»

Maskify не ответил на запросы о комментарии.

БОТМАСТЕРЫ НАПАДАЮТ

Спустя несколько часов после публикации нашей первой истории о Кимвулфе на прошлой неделе, рези[.]до исчезновения Discord-сервера, сайт Synthient подвергся DDoS-атаке, и мастера ботов Kimwolf начали раскрыть информацию Brundage через свой ботнет.

Оскорбляющие сообщения появились в виде текстовых записей, загруженных в Ethereum Name Service (ENS) — распределённую систему поддержки смарт-контрактов, развернутую на блокчейне Ethereum. Как сообщает XLab, в середине декабря операторы Kimwolf модернизировали свою инфраструктуру и начали использовать ENS, чтобы лучше противостоять почти постоянным операциям по удалению серверов ботнета.

Если заражённые системы должны искать серверы управления Kimwolf через ENS, даже если серверы, используемые ботмастерами для управления ботнетом, будут отключены, злоумышленнику достаточно просто обновить текстовую запись ENS, чтобы она отразила новый интернет-адрес управляющего сервера, и заражённые устройства сразу узнают, куда искать дальнейшие инструкции.

«Сам этот канал опирается на децентрализованный характер блокчейна, не регулируемого Ethereum или другими операторами блокчейна, и не может быть заблокирован», — написал XLab.

Текстовые записи, включённые в инструкции ENS от Kimwolf, также могут содержать короткие сообщения, например, те, что содержали личную информацию Брандиджа. Другие текстовые записи ENS, связанные с Kimwolf, давали мудрый совет: «Если они отмечены, мы призываем уничтожить телевизионную приставку.»

И Synthient, и XLabs утверждают, что Kimwolf нацелена на огромное количество моделей стриминговых приставок для Android TV, все из которых не имеют никакой защиты и многие из них поставляются с встроенным прокси-вредоносным ПО. В целом, если вы можете отправить пакет данных на одно из этих устройств, вы также можете получить административный контроль над ним.

Если у вас есть телевизионная приставка, соответствующая одному из этих названий и/или номеров, пожалуйста, просто вытащите её из сети. Если…