Nova botnet mreža pod nazivom Kimwolf je zaražena na više od 2 miliona uređaja, prisiljavajući ih da učestvuju u masovnim DDoS napadima i prenose zlonamerne internet saobraćaje. Njena sposobnost skeniranja lokalnih mreža za druge IoT uređaje čini je ozbiljnom pretnjom, posebno u vladinim i korporativnim mrežama.
Kimwolf je brzo napredovao krajem 2025. godine, koristeći razne „rezidencijalne proxy“ usluge da bi prenosio zlonamerne komande na uređaje unutar tih mreža. Ove proxy usluge omogućavaju korisnicima da anonimno pretražuju internet putem uređaja smeštenih u različitim zemljama ili gradovima.
Malver koji pretvara vašu internet vezu u proxy često je neprimetno uključen u razne mobilne aplikacije i igre, primoravajući zaražene uređaje da prenose zlonameran saobraćaj, uključujući pokušaje preuzimanja naloga i masovno preuzimanje sadržaja.
Kimwolf je posebno ciljao proxy usluge kao što je IPIDEA, koja nudi milione proxy tačaka za iznajmljivanje. Operatori Kimwolf-a su otkrili kako da proslede zlonamerne komande na unutrašnje mreže IPIDEA proxy tačaka, skenirajući i inficirajući druge ranjive uređaje unutar lokalne mreže.
Većina kompromitovanih sistema su nelegalne Android TV streaming kutije, koje se obično reklamiraju kao način za gledanje neograničenog (piratskog) video sadržaja za jednokratnu naknadu. Često dolaze sa rezidencijalnim proxy softverom unapred instaliranim i nemaju pravu sigurnost ili autentifikaciju.
Iako su IPIDEA i druge pogođene proxy usluge preduzele korake da blokiraju pretnje poput Kimwolf-a, ovaj malver ostaje na milionima zaraženih uređaja.
Bez obzira na to što se Kimwolf uglavnom povezuje sa rezidencijalnim proxy mrežama i kompromitovanim Android TV kutijama, istraživačka firma Infoblox je otkrila da je skoro 25% njihovih korisnika napravilo upit na Kimwolf-domene od 1. oktobra 2025. godine, što sugeriše da je barem jedan uređaj bio kompromitovan u tim organizacijama.
Infoblox je primetio da su pogođeni korisnici iz različitih industrija, uključujući obrazovanje, zdravstvo, vladu i finansije. Ovo predstavlja ozbiljnu pretnju za organizacije koje koriste neosigurane uređaje unutar svojih mreža.
Na nedavnom vebinaru, stručnjaci iz servisa za praćenje proxy usluga Spur su mapirali internet adrese povezane sa IPIDEA i drugim proxy uslugama koje su ranjive na Kimwolf-ove napade. Otkrili su da su rezidencijalni proxy servisi prisutni u gotovo 300 vladinih mreža, 318 komunalnih preduzeća, 166 zdravstvenih ustanova i 141 kompaniji iz bankarskog sektora.
Ova situacija pokazuje kako jedna infekcija rezidencijalnog proxy-a može dovesti do većih problema za organizacije koje imaju nesigurne uređaje iza svojih vatrozida. Ako se zna da postoje proxy infekcije unutar kompanije, to može postati ulazna tačka za napadače da istraže druge uređaje unutar lokalne mreže.
Ovo je treća priča u našoj seriji o Kimwolf botnetu. U sledećem tekstu, osvetlićemo vezu između pojedinaca i kompanija u Kini i Badbox 2.0 botnet-a, koji se sastoji od brojnih modela Android TV streaming kutija koje dolaze bez odgovarajuće sigurnosti i sa unapred instaliranim rezidencijalnim proxy malverom.
