Исследователи из QiAnXin XLab обнаружили новый масштабный DDoS-ботнет под названием Kimwolf, который уже заразил не менее 1,8 миллиона устройств по всему миру. Основными жертвами вредоносного ПО стали телевизионные приставки, сет-топ-боксы и планшеты на базе Android, работающие в домашних сетях. Это открытие подтверждает существенный сдвиг в стратегиях киберпреступников: если раньше, как в случае с Mirai в 2016 году, атакам подвергались преимущественно роутеры и камеры, то теперь фокус сместился на Smart TV и ТВ-боксы, что ставит Kimwolf в один ряд с такими угрозами, как Badbox, Bigpanzi и Vo1d. Хотя точный метод первоначального распространения пока неясен, масштаб заражения делает эту сеть одной из самых значительных угроз для Интернета вещей.
Техническая архитектура Kimwolf отличается высокой сложностью и использованием современных методов защиты. Вредоносная программа скомпилирована с использованием NDK (Native Development Kit) и поддерживает 13 различных методов DDoS-атак через протоколы UDP, TCP и ICMP. Помимо атак, ботнет функционален для проксирования трафика, создания обратной оболочки (reverse shell) и управления файлами. Для скрытия своей активности операторы внедрили шифрование TLS для сетевых коммуникаций и используют DNS-over-TLS для получения IP-адресов командных серверов (C2), которые расшифровываются только при запуске процесса, гарантируя работу лишь одной копии вредоноса на устройстве.
Хронология активности ботнета указывает на его стремительный рост в конце 2025 года. Специалисты XLab получили образец четвертой версии Kimwolf 24 октября 2025 года, а уже в ноябре скрипты заражения начали массово распространяться параллельно с другим известным ботнетом AISURU. Пик активности пришелся на период с 19 по 22 ноября 2025 года, когда сеть инициировала беспрецедентные 1,7 миллиарда команд на DDoS-атаки всего за три дня. Примечательно, что в этот период командный домен
Анализ кода и инфраструктуры позволил связать Kimwolf с хакерской группировкой, стоящей за ботнетом AISURU, известным своими рекордными DDoS-атаками. Доказательства включают совместное использование скриптов заражения и нахождение обоих зловредов на одних и тех же устройствах. Более того, APK-пакеты обоих ботнетов были подписаны одним сертификатом с примечательным именем владельца: "John Dinglebert Dinglenut VIII VanSack Smith". Также 8 декабря 2025 года был обнаружен активный сервер-загрузчик с IP-адресом
В начале декабря 2025 года XLab удалось перехватить контроль над одним из C2-доменов для оценки масштаба угрозы, однако злоумышленники активно сопротивлялись. В течение декабря командные серверы отключались неизвестными сторонами минимум три раза, что вынудило операторов внедрять тактические обновления. Самым значимым изменением стало обнаружение 12 декабря 2025 года версий с новой техникой уклонения, известной как "EtherHiding". Этот метод позволяет ботнету сохранять устойчивость к блокировкам, используя децентрализованную инфраструктуру блокчейна для получения конфигурационных данных.
Механизм EtherHiding в Kimwolf реализован через службу имен Ethereum (ENS) с использованием домена
Экономическая модель Kimwolf в значительной степени ориентирована на монетизацию пропускной способности зараженных устройств. Статистика показывает, что более 96% всех команд, отправляемых ботам, связаны с прокси-сервисами. Для реализации этой функции злоумышленники используют модуль Command Client, написанный на языке Rust, а также внедряют ByteConnect SDK — инструмент, часто используемый для монетизации трафика разработчиками приложений. Это превращает домашние устройства пользователей в узлы глобальной прокси-сети, через которую может проходить любой, в том числе нелегальный, трафик.
География заражения и список уязвимых устройств обширны. В числе инфицированных моделей были идентифицированы TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10. Наибольшее количество зараженных устройств находится в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах. При этом жертвами DDoS-атак, осуществляемых с помощью этой армады устройств, чаще всего становятся цели, расположенные в США, Китае, Франции, Германии и Канаде, что подчеркивает глобальный характер угрозы, исходящей от ботнета Kimwolf.
Изображение носит иллюстративный характер
Техническая архитектура Kimwolf отличается высокой сложностью и использованием современных методов защиты. Вредоносная программа скомпилирована с использованием NDK (Native Development Kit) и поддерживает 13 различных методов DDoS-атак через протоколы UDP, TCP и ICMP. Помимо атак, ботнет функционален для проксирования трафика, создания обратной оболочки (reverse shell) и управления файлами. Для скрытия своей активности операторы внедрили шифрование TLS для сетевых коммуникаций и используют DNS-over-TLS для получения IP-адресов командных серверов (C2), которые расшифровываются только при запуске процесса, гарантируя работу лишь одной копии вредоноса на устройстве.
Хронология активности ботнета указывает на его стремительный рост в конце 2025 года. Специалисты XLab получили образец четвертой версии Kimwolf 24 октября 2025 года, а уже в ноябре скрипты заражения начали массово распространяться параллельно с другим известным ботнетом AISURU. Пик активности пришелся на период с 19 по 22 ноября 2025 года, когда сеть инициировала беспрецедентные 1,7 миллиарда команд на DDoS-атаки всего за три дня. Примечательно, что в этот период командный домен
14emeliaterracewestroxburyma02132[.]su кратковременно обогнал Google в списке топ-100 доменов Cloudflare, демонстрируя колоссальный объем генерируемого трафика. Анализ кода и инфраструктуры позволил связать Kimwolf с хакерской группировкой, стоящей за ботнетом AISURU, известным своими рекордными DDoS-атаками. Доказательства включают совместное использование скриптов заражения и нахождение обоих зловредов на одних и тех же устройствах. Более того, APK-пакеты обоих ботнетов были подписаны одним сертификатом с примечательным именем владельца: "John Dinglebert Dinglenut VIII VanSack Smith". Также 8 декабря 2025 года был обнаружен активный сервер-загрузчик с IP-адресом
93.95.112[.]59, содержащий скрипты для распространения как Kimwolf, так и AISURU, что указывает на переиспользование кода AISURU на ранних этапах разработки нового бота. В начале декабря 2025 года XLab удалось перехватить контроль над одним из C2-доменов для оценки масштаба угрозы, однако злоумышленники активно сопротивлялись. В течение декабря командные серверы отключались неизвестными сторонами минимум три раза, что вынудило операторов внедрять тактические обновления. Самым значимым изменением стало обнаружение 12 декабря 2025 года версий с новой техникой уклонения, известной как "EtherHiding". Этот метод позволяет ботнету сохранять устойчивость к блокировкам, используя децентрализованную инфраструктуру блокчейна для получения конфигурационных данных.
Механизм EtherHiding в Kimwolf реализован через службу имен Ethereum (ENS) с использованием домена
pawsatyou[.]eth и адреса смарт-контракта 0xde569B825877c47fE637913eCE5216C644dE081F. Процесс дешифровки IP-адреса управляющего сервера происходит следующим образом: бот извлекает данные из поля "lol" в транзакции, берет последние четыре байта и выполняет операцию XOR с ключом "0x93141715", чтобы получить актуальный IPv6-адрес. Эта сложная схема делает традиционные методы блокировки управляющих серверов практически бесполезными, так как данные хранятся в неизменяемом блокчейне. Экономическая модель Kimwolf в значительной степени ориентирована на монетизацию пропускной способности зараженных устройств. Статистика показывает, что более 96% всех команд, отправляемых ботам, связаны с прокси-сервисами. Для реализации этой функции злоумышленники используют модуль Command Client, написанный на языке Rust, а также внедряют ByteConnect SDK — инструмент, часто используемый для монетизации трафика разработчиками приложений. Это превращает домашние устройства пользователей в узлы глобальной прокси-сети, через которую может проходить любой, в том числе нелегальный, трафик.
География заражения и список уязвимых устройств обширны. В числе инфицированных моделей были идентифицированы TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10. Наибольшее количество зараженных устройств находится в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах. При этом жертвами DDoS-атак, осуществляемых с помощью этой армады устройств, чаще всего становятся цели, расположенные в США, Китае, Франции, Германии и Канаде, что подчеркивает глобальный характер угрозы, исходящей от ботнета Kimwolf.
