KadNap Malware
Cybersicherheitsforscher haben eine neue Malware-Variante namens KadNap identifiziert, die vorwiegend Asus-Router angreift und diese in ein Botnetz einbindet, das schädlichen Internetverkehr umleitet. Die Malware wurde erstmals im August 2025 entdeckt und hat bereits über 14.000 Geräte weltweit infiziert. Analysen zeigen, dass sich über 60 % der kompromittierten Systeme in den USA befinden, während kleinere Infektionscluster in Taiwan, Hongkong, Russland, Großbritannien, Australien, Brasilien, Frankreich, Italien und Spanien festgestellt wurden.
Obwohl Asus-Router offenbar die Hauptziele sind, zeigen Untersuchungen, dass die Betreiber von KadNap ihre Aktivitäten auf eine breitere Palette von Netzwerkgeräten ausgeweitet haben. Diese Ausweitung deutet auf einen gezielten Versuch hin, die Größe und Widerstandsfähigkeit der Botnetz-Infrastruktur zu maximieren.
Inhaltsverzeichnis
Peer-to-Peer-Verschleierung durch Kademlia-Technologie
Ein charakteristisches Merkmal der KadNap-Operation ist die Verwendung einer modifizierten Implementierung des Kademlia Distributed Hash Table (DHT)-Protokolls. Dieses Protokoll ist in eine Peer-to-Peer-Architektur integriert, die den Standort der Botnetz-Infrastruktur verschleiert, indem sie die Befehlssysteme in verteilten Knoten verbirgt.
Kompromittierte Geräte kommunizieren über das DHT-Netzwerk, um Command-and-Control-Server (C2-Server) zu finden und sich mit ihnen zu verbinden. Durch die Verteilung der Kommunikation über eine dezentrale Umgebung vermeidet die Schadsoftware die Abhängigkeit von einem einzelnen Infrastrukturpunkt, was herkömmliche Erkennungs- und Bekämpfungsmaßnahmen erheblich erschwert. Dieser Ansatz tarnt den schädlichen Datenverkehr effektiv als legitimen Peer-to-Peer-Netzwerkverkehr und macht Überwachung und Störung für die Verteidiger deutlich schwieriger.
Infektionsmechanismus und Persistenzstrategie
Die Infektionskette beginnt mit einem Shell-Skript namens aic.sh, das von einem Befehlsserver mit der IP-Adresse 212.104.141.140 heruntergeladen wird. Dieses Skript initiiert den Prozess der Integration des kompromittierten Geräts in das Peer-to-Peer-Ökosystem des Botnetzes.
Das Skript etabliert Persistenz, indem es einen Cronjob erstellt, der das Skript stündlich nach 55 Minuten abruft. Bei jedem Download wird es in „.asusrouter“ umbenannt und ausgeführt. Sobald die Persistenz sichergestellt ist, lädt das Skript eine schädliche ELF-Datei herunter, benennt sie in „kad“ um und führt sie aus, wodurch die KadNap-Malware installiert wird. Die Malware ist so konzipiert, dass sie auf Geräten mit ARM- und MIPS-Prozessoren funktioniert und somit eine Vielzahl von Routerarchitekturen kompromittieren kann.
Zeitbasierte Peer-Erkennung und Netzwerkkoordination
KadNap verfügt über einen Mechanismus zur Synchronisierung der Aktivitäten in seinem dezentralen Netzwerk. Die Malware verbindet sich mit einem NTP-Server (Network Time Protocol), um die aktuelle Systemzeit abzurufen und diese mit den Betriebszeitinformationen des infizierten Geräts zu kombinieren. Aus diesen Werten wird ein Hashwert generiert, der dem infizierten Gerät hilft, andere Geräte im verteilten Netzwerk zu finden.
Dieser Prozess ermöglicht es kompromittierten Systemen, andere Knoten zu entdecken, Anweisungen zu erhalten und zusätzliche Schadsoftware herunterzuladen, ohne auf eine zentrale Befehlsstruktur angewiesen zu sein. Unterstützende Skripte wie fwr.sh und /tmp/.sose führen außerdem zusätzliche Aufgaben aus, darunter das Deaktivieren von Port 22, dem Standard-TCP-Port von Secure Shell (SSH), und das Extrahieren von Listen mit C2-Serveradressen und Portkombinationen für die weitere Kommunikation.
Kommerzialisierung des Botnetzes durch Proxy-Dienste
Sobald Router kompromittiert sind, werden sie in ein kommerzielles Proxy-Netzwerk integriert, das unter dem Namen Doppelgänger über die Website doppelganger.shop vertrieben wird. Sicherheitsforscher gehen davon aus, dass es sich bei diesem Dienst um eine umbenannte Version von Faceless handelt, einer Proxy-Plattform, die zuvor mit der Malware TheMoon in Verbindung gebracht wurde.
Laut Werbematerial des Anbieters bietet das Netzwerk in über 50 Ländern Proxy-Zugriff für Privathaushalte und wirbt mit „100%iger Anonymität“ für die Nutzer. Hinweise deuten darauf hin, dass die Plattform etwa im Mai oder Juni 2025 gestartet wurde. Die Infrastruktur segmentiert infizierte Geräte nach Typ und Modell, da nicht jedes kompromittierte Gerät mit jedem Command-Server kommuniziert. Diese Segmentierung lässt auf eine strukturierte und skalierbare Botnetz-Managementstrategie schließen.
Es wurde bereits beobachtet, dass das Proxy-Netzwerk von mehreren Angreifern ausgenutzt wird. Die Zuordnung gestaltet sich jedoch schwierig, da die am Netzwerk beteiligten Router mitunter gleichzeitig mit weiteren Schadsoftware-Familien infiziert sind, wodurch verschleiert wird, welcher Akteur für bestimmte schädliche Aktivitäten verantwortlich ist.
Schutzmaßnahmen für Routerbesitzer
Der Aufstieg von KadNap verdeutlicht das wachsende Risiko, das von unzureichend gesicherten Endgeräten in Heimnetzwerken und kleinen Büros ausgeht. Netzwerkverteidiger und Einzelnutzer können das Risiko durch die Anwendung verschiedener Sicherheitsmaßnahmen deutlich reduzieren:
- Halten Sie Router und Netzwerkgeräte mit der neuesten Firmware und den aktuellsten Sicherheitsupdates auf dem neuesten Stand.
- Starten Sie die Geräte gegebenenfalls regelmäßig neu, um vorübergehend schädliche Prozesse zu beenden.
- Ersetzen Sie die Standard-Anmeldedaten durch sichere, individuelle Passwörter.
- Administrative Managementschnittstellen einschränken und sichern.
- Router, die das Ende ihrer Lebensdauer erreicht haben und keine Sicherheitsupdates mehr vom Hersteller erhalten, sollten ausgemustert und ersetzt werden.
Ein dezentrales Botnetz, das für Tarnung konzipiert wurde
KadNap unterscheidet sich von vielen herkömmlichen Botnetzen, die anonyme Proxy-Dienste unterstützen, durch seine dezentrale Peer-to-Peer-Architektur. Durch die Nutzung des Kademlia-DHT-Protokolls verteilt das Botnetz die Kontrolle auf infizierte Geräte, anstatt sich auf leicht identifizierbare zentrale Server zu verlassen.
Diese Architektur bietet den Betreibern robuste Kommunikationskanäle, die deutlich schwieriger zu erkennen, zu blockieren oder zu unterbinden sind. Das strategische Ziel ist klar: die Betriebskontinuität gewährleisten, die Sicherheitsüberwachung umgehen und die Abwehrmaßnahmen der Cybersicherheitsteams erschweren.
