Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Botnetze Kimwolf-Botnetz-Kampagne

Kimwolf-Botnetz-Kampagne

Von Mezo in Botnetze
Übersetzen Sie in:

Sicherheitsforscher haben ein massives, auf Android fokussiertes Botnetz namens Kimwolf aufgedeckt, das über zwei Millionen Geräte durch die Ausnutzung von Proxy-Netzwerken in Privathaushalten kompromittiert hat. Die Schadsoftware verwandelt alltägliche Verbrauchergeräte in eine globale Angriffsplattform, leitet unbemerkt schädlichen Datenverkehr weiter und ermöglicht so großflächige DDoS-Angriffe (Distributed Denial-of-Service). Beobachtungen zeigen, dass wöchentlich etwa 12 Millionen eindeutige IP-Adressen betroffen sind, was das enorme Ausmaß dieser Operation verdeutlicht.

Ursprünge, Entwicklung und Verbindungen zu AISURU

Kimwolf wurde erstmals im Dezember 2025 öffentlich analysiert, als Ermittler starke technische und infrastrukturelle Verbindungen zu einem anderen Botnetz namens AISURU feststellten. Es gibt Hinweise darauf, dass Kimwolf mindestens seit August 2025 aktiv ist und eine Android-basierte Weiterentwicklung von AISURU darstellt. Forscher gehen zunehmend davon aus, dass dieses Botnetz für mehrere rekordverdächtige DDoS-Kampagnen verantwortlich war, die Ende letzten Jahres beobachtet wurden.

Globale Infektionspräsenz und zielgerichtete Medizinprodukte

Obwohl Kimwolf weltweit verbreitet ist, konzentrieren sich die Infektionen stark auf Vietnam, Brasilien, Indien und Saudi-Arabien. Ein erheblicher Teil der kompromittierten Systeme sind inoffizielle Android-Smart-TVs und Set-Top-Boxen, von denen viele mit unsicheren Standardkonfigurationen ausgeliefert werden.

Mindestens 67 % der vernetzten Geräte stellen einen nicht authentifizierten Android Debug Bridge (ADB)-Dienst bereit und sind somit für die Fernsteuerung angreifbar. Ermittler vermuten, dass viele dieser Produkte bereits vor der Auslieferung an Endkunden mit Proxy-bezogenen Software Development Kits (SDKs) vorinstalliert sind und dadurch in Proxy-Ökosysteme eingebunden werden, die später zu Verbreitungskanälen für Schadsoftware werden.

Wie Kimwolf die Kontrolle verbreitet und aufrechterhält

Die Betreiber von Kimwolf nutzen große Residential-Proxy-Netzwerke, um das Internet nach Android-Geräten mit ungeschützten ADB-Diensten abzusuchen. Sobald ein solches Gerät identifiziert ist, wird Schadsoftware aus der Ferne installiert, wodurch es zu einem Datenverkehrsrelais und Angriffsknotenpunkt wird. Die Kernnutzlast öffnet einen Listener auf Port 40860 und stellt eine ausgehende Kommunikation mit 85.234.91[.]247:1337 her, von dem sie Befehle empfängt.

Noch im Dezember 2025 wurden Infektionen auf Proxy-IP-Adressen des chinesischen Anbieters IPIDEA zurückgeführt. Dieser bewarb sich selbst als weltweit führenden IP-Proxy-Dienst mit über 6,1 Millionen täglich aktualisierten IPs und 69.000 neuen Adressen pro Tag. Am 27. Dezember veröffentlichte IPIDEA ein Sicherheitsupdate, das den Zugriff auf lokale Netzwerke und sensible Ports blockierte, nachdem Hinweise darauf aufgetaucht waren, dass Angreifer über die von Kunden installierte Proxy-Software Tunneling nutzten, um interne Geräte zu erreichen.

Die durch diese Technik entstandene Gefährdung wurde von Analysten als beispiellos beschrieben, da Millionen von Verbrauchersystemen direkt der automatisierten Ausbeutung ausgesetzt waren.

Monetarisierung: Proxys, Payloads und bezahlte Angriffe

Von Anfang an waren Kimwolfs finanzielle Motive klar. Die Betreiber vermarkteten ihre Infrastruktur aggressiv und machten aus kompromittierten Geräten über verschiedene Kanäle gewinnbringende Vermögenswerte:

  • Der Verkauf von Residential-Proxy-Zugängen, die zu Preisen ab 0,20 US-Dollar pro GB oder etwa 1.400 US-Dollar pro Monat für unbegrenzte Bandbreite angeboten wurden, führte zu einer frühen Akzeptanz bei mehreren Proxy-Diensten.
  • Einsatz sekundärer Monetarisierungs-SDKs, insbesondere des Plainproxies Byteconnect SDK, das bezahlte Proxy-Aufgaben von einem Befehlsserver über 119 dedizierte Relay-Server an infizierte Geräte weiterleitet.
  • Missbrauch des Botnetzes für Cyberkriminalitätsoperationen, einschließlich groß angelegter DDoS-Angriffe und beobachteter Credential-Stuffing-Kampagnen gegen IMAP-Dienste und beliebte Online-Plattformen.

Das Vorhandensein vorinfizierter TV-Boxen und die Integration kommerzieller Bandbreiten-Sharing-SDKs lassen stark auf eine zunehmende Zusammenarbeit zwischen Botnetzbetreibern und Teilen der Proxy-Ökonomie schließen.

Abwehrmaßnahmen und Risikoreduzierung

Um ähnlichen Bedrohungen entgegenzuwirken, ist ein koordiniertes Vorgehen sowohl seitens der Dienstanbieter als auch der Endnutzer erforderlich:

  • Proxy-Netzwerke sollten den Datenverkehr blockieren, der für Adressbereiche gemäß RFC 1918 bestimmt ist, um zu verhindern, dass externe Kunden interne private Netzwerke erreichen, in denen sich Endgeräte befinden.
  • Organisationen und Einzelpersonen müssen den nicht authentifizierten ADB-Zugriff auf Android-Systemen deaktivieren oder einschränken, insbesondere auf eingebetteten Geräten und IoT-Geräten, die oft mit unsicheren Standardeinstellungen ausgeliefert werden.

Ohne diese Kontrollmechanismen werden Residential-Proxy-Ökosysteme weiterhin ideale Bedingungen für den großflächigen Einsatz von Malware und die Erweiterung von Botnetzen bieten.

Im Trend

Am häufigsten gesehen

Wird geladen...