Новый распределённый ботнет для атак отказа в обслуживании (DDoS), известный как Kimwolf, завербовал огромную армию не менее 1,8 миллиона заражённых устройств, состоящую из телевизоров, приставок и планшетов на базе Android, и, возможно, связан с другим ботнетом, известным как AISURU, согласно выводам QiAnXin XLab.
Kimwolf — это ботнет, скомпилированный с использованием Native Development Kit (NDK), — сообщила компания в отчёте, опубликованном сегодня. "Помимо типичных возможностей DDoS-атак, он интегрирует функции прокси-переадресации, обратной оболочки и управления файлами.
Гипермасштабный ботнет, по оценкам, издал 1,7 миллиарда команд DDoS-атак за трёхдневный период с 19 по 22 ноября 2025 года, примерно в то же время, когда один из его доменов управления и командования (C2) — 14emeliaterracewestroxburyma02132[.]su — занял первое место в списке Cloudflare топ-100 доменов, на короткое время даже обогнав Google.
Основные цели заражения Kimwolf — это TV-приставки, развёрнутые в домашних сетевых средах. Среди моделей заражённых устройств — TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10. Заражения разбросаны по всему миру, с более высокой концентрацией в Бразилии, Индии, США, Аргентине, ЮАР и Филиппинах. Тем не менее, точный способ распространения вредоносного ПО на эти устройства на данный момент неясен.
XLab сообщила, что её расследование ботнета началось после получения артефакта "версии 4" Kimwolf от доверенного партнёра из сообщества 24 октября 2025 года. С тех пор, по состоянию на прошлый месяц, было обнаружено ещё восемь образцов.
Мы наблюдали, что домены C2 Kimwolf были успешно выведены из строя неизвестными сторонами как минимум три раза [в декабре], что вынудило его обновить тактику и перейти к использованию ENS (Ethereum Name Service) для укрепления инфраструктуры, демонстрируя мощные эволюционные возможности, — сказали исследователи XLab.
На этом не всё. В начале этого месяца XLab удалось успешно захватить контроль над одним из доменов C2, что позволило оценить масштаб ботнета и наблюдать пиковое ежедневное количество активных IP ботов примерно в 1,83 миллиона.
Интересный аспект Kimwolf заключается в том, что он связан с печально известным ботнетом AISURU, который стоит за некоторыми рекордными DDoS-атаками за последний год. Предполагается, что атакующие переиспользовали код из AISURU на ранних этапах, прежде чем решили разработать ботнет Kimwolf для уклонения от обнаружения.
XLab отметила, что возможно, некоторые из этих атак могли не исходить только от AISURU, и Kimwolf может либо участвовать, либо даже возглавлять усилия. Компания по кибербезопасности сообщила The Hacker News, что на данный момент неизвестно, кто стоит за этими ботнетами.
Эти два крупных ботнета распространялись через одни и те же скрипты заражения с сентября по ноябрь, сосуществуя на одной партии устройств — сказала компания. На самом деле они принадлежат одной хакерской группе.
Эта оценка основана на сходствах в APK-пакетах, загруженных на платформу VirusTotal, в некоторых случаях даже использующих один и тот же сертификат подписи кода ("John Dinglebert Dinglenut VIII VanSack Smith"). Дальнейшие окончательные доказательства поступили 8 декабря 2025 года с обнаружением активного сервера-загрузчика ("93.95.112[.]59"), содержащего скрипт, ссылающийся на APK для Kimwolf и AISURU.
Сам вредоносный код довольно прост. После запуска он обеспечивает, чтобы на заражённом устройстве работала только одна инстанция процесса, а затем расшифровывает встроенный домен C2, использует DNS-over-TLS для получения IP-адреса C2 и подключается к нему для получения и выполнения команд.
Недавние версии вредоносного ПО ботнета, обнаруженные всего 12 декабря 2025 года, ввели технику, известную как EtherHiding, которая использует домен ENS ("pawsatyou[.]eth") для получения фактического IP C2 из связанного смарт-контракта (0xde569B825877c47fE637913eCE5216C644dE081F) в усилии сделать инфраструктуру более устойчивой к попыткам вывода из строя.
В частности, это включает извлечение IPv6-адреса из поля "lol" транзакции, затем взятие последних четырёх байтов адреса и выполнение операции XOR с ключом "0x93141715" для получения фактического IP-адреса.
Помимо шифрования чувствительных данных, связанных с серверами C2 и DNS-резолверами, Kimwolf использует TLS-шифрование для сетевых коммуникаций при получении команд DDoS. В целом вредоносное ПО поддерживает 13 методов DDoS-атак по UDP, TCP и ICMP. Цели атак, по данным XLab, расположены в США, Китае, Франции, Германии и Канаде.
Дальнейший анализ показал, что более 96% команд относятся к использованию бот-узлов для предоставления прокси-услуг. Это указывает на попытки атакующих эксплуатировать пропускную способность скомпрометированных устройств и максимизировать прибыль. В рамках этих усилий на узлы развёртывается модуль Command Client на базе Rust для формирования прокси-сети.
Также на узлы доставляется ByteConnect software development kit (SDK) с помощью скрипта-загрузчика — это решение для монетизации, позволяющее разработчикам приложений и владельцам IoT-устройств монетизировать свой трафик.
Гигантские ботнеты зародились с Mirai в 2016 году, с целями заражения, в основном сосредоточенными на IoT-устройствах, таких как домашние широкополосные роутеры и камеры", — сказала XLab. "Однако в последние годы была раскрыта информация о нескольких гигантских ботнетах уровня миллионов, таких как Badbox, Bigpanzi, Vo1d и Kimwolf, что указывает на то, что некоторые атакующие начали обращать внимание на различные смарт-ТВ и TV-приставки.
Для надежной защиты от ботнетов, нужно использовать надежного поставщика услуги защиты от DDoS-атака. Одним из таких на российском рынке является StormWall