Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Botnetze Kimwolf Botnet

Kimwolf Botnet

Von Mezo in Botnetze
Übersetzen Sie in:

Cybersicherheitsexperten haben ein massives DDoS-Botnetz namens Kimwolf aufgedeckt, das bereits über 1,8 Millionen Geräte infiziert hat. Darunter befinden sich Android-Fernseher, Set-Top-Boxen und Tablets. Erste Untersuchungen deuten auf eine mögliche Verbindung zum berüchtigten AISURU-Botnetz hin. Die Entdeckung verdeutlicht die zunehmende Raffinesse von Schadsoftware, die auf das Internet der Dinge abzielt, und unterstreicht die dringende Notwendigkeit, vernetzte Geräte zu schützen.

Anatomie von Kimwolf

Kimwolf basiert auf dem Native Development Kit (NDK) und vereint zahlreiche Funktionen, die über herkömmliche DDoS-Angriffe hinausgehen. Zu den wichtigsten Merkmalen gehören:

  • Proxy-Weiterleitung
  • Reverse Shell-Zugriff
  • Dateiverwaltungsfunktionen

Die Malware des Botnetzes ist so konzipiert, dass sie pro Gerät einen einzigen Prozess ausführt, eingebettete Command-and-Control (C2)-Domänen entschlüsselt, die C2-IP-Adresse mittels DNS-over-TLS auflöst und von ihren Betreibern empfangene Befehle ausführt.

Rekordverdächtiges Ausmaß und Aktivität

Berichten zufolge sendete Kimwolf innerhalb von nur drei Tagen, vom 19. bis 22. November 2025, 1,7 Milliarden DDoS-Angriffsbefehle. Eine seiner C2-Domains, 14emeliaterracewestroxburyma02132[.]su, schaffte es sogar kurzzeitig unter die Top 100 der Cloudflare-Domains und überholte damit vorübergehend Google.

Zu den primären Infektionszielen gehören Heimfernsehgeräte wie:

  • TV-Box, SuperBOX, HiDPTAndroid
  • P200, X96Q, XBOX, SmartTV, MX10

Geografisch gesehen konzentrieren sich die Infektionen auf Brasilien, Indien, die USA, Argentinien, Südafrika und die Philippinen, wobei die genaue Übertragungsmethode weiterhin unklar ist.

Evolution und Resilienz

Kimwolf beweist hohe Anpassungsfähigkeit. Seine C2-Domains wurden im Dezember 2025 mindestens dreimal abgeschaltet, was die Betreiber dazu veranlasste, Ethereum Name Service (ENS)-Domains zur Stärkung der Infrastruktur einzusetzen. Neuere Versionen der Malware nutzen EtherHiding, eine Technik, die die tatsächliche C2-IP-Adresse über Smart Contracts ermittelt und mittels XOR-Operationen transformiert, wodurch die Abschaltung deutlich erschwert wird.

Verbindung zu AISURU und gemeinsam genutzter Infrastruktur

Beweise bringen Kimwolf mit dem AISURU-Botnetz in Verbindung, das für rekordverdächtige DDoS-Angriffe bekannt ist:

  • Beide Botnetze existierten zwischen September und November 2025 auf denselben infizierten Geräten.
  • Ähnlichkeiten in den APK-Paketen und den Codesignaturzertifikaten („John Dinglebert Dinglenut VIII VanSack Smith“) lassen auf einen gemeinsamen Entwicklungsursprung schließen.
  • Ein Downloader-Server (93.95.112[.]59) bestätigte das Vorhandensein von Skripten, die sowohl auf Kimwolf als auch auf AISURU APKs verweisen.

Diese Beziehung lässt vermuten, dass eine einzige Hackergruppe möglicherweise beide Botnetze betreibt, um die Reichweite zu maximieren und einer Entdeckung zu entgehen.

Angriffsfähigkeiten und Monetarisierung

Kimwolf unterstützt 13 verschiedene DDoS-Methoden über UDP, TCP und ICMP und zielt auf Länder wie die USA, China, Frankreich, Deutschland und Kanada ab. Auffällig ist, dass über 96 % der ausgeführten Befehle darauf abzielen, infizierte Knoten als Proxy-Dienste zu nutzen, was auf ein starkes Gewinnstreben hindeutet.

Zu den weiteren Komponenten, die auf kompromittierten Geräten eingesetzt werden, gehören:

  • Rust-basierter Befehlsclient – baut ein Proxy-Netzwerk auf
  • ByteConnect SDK – Monetarisierung des IoT-Datenverkehrs für Entwickler und Gerätebesitzer
  • Die TLS-Verschlüsselung sichert die gesamte Kommunikation, während auch sensible Daten über C2-Server und DNS-Resolver verschlüsselt werden, was die operative Tarnung erhöht.

Der breitere Kontext von riesigen Botnetzen

Seit dem Auftauchen von Mirai im Jahr 2016 haben sich riesige IoT-Botnetze deutlich weiterentwickelt. Frühe Versionen zielten hauptsächlich auf Breitbandrouter und Kameras ab, doch moderne Botnetze wie Badbox, Bigpanzi, Vo1d und Kimwolf konzentrieren sich zunehmend auf Smart-TVs und TV-Boxen, was das verlagerte Interesse der Angreifer an Endgeräten mit hoher Bandbreite widerspiegelt.

Im Trend

Am häufigsten gesehen

Wird geladen...