В мире вредоносных программ для интернета вещей (IoT) наметилась тревожная тенденция: злоумышленники активно перенимают инструменты и подходы, ранее характерные для сложных APT-групп. Яркий пример - эволюция ботнета Kimwolf, нацеленного на устройства Android TV. Аналитики компании Palo Alto Networks обнаружили его новую, седьмую версию, которая демонстрирует значительный скачок в скрытности и устойчивости. Если раньше такие ботнеты полагались на простые централизованные серверы для управления, то теперь Kimwolf v7 использует блокчейн Ethereum и сеть Tor для создания практически неуязвимой распределённой командной инфраструктуры, одновременно наращивая арсенал DDoS-атак.
Описание
Ботнет Kimwolf, также известный под названием AISURU, активен с августа 2024 года. Его основная цель - недорогие Android TV-приставки и смарт-телевизоры, часто несертифицированные и с устаревшим программным обеспечением. Монетизация происходит за счёт предоставления услуг DDoS-атак по найму, продажи пропускной способности заражённых устройств через SDK ByteConnect для создания прокси-сетей, а также установки платного ПО. Однако версия 7 представляет собой качественно новый этап развития, явно спровоцированный активными мерами по нейтрализации ботнета, о которых в конце 2025 - начале 2026 года сообщали компании XLab, Synthient, Infoblox и блог KrebsOnSecurity. Новая итерация была обнаружена 3 февраля 2026 года в ходе поисковых операций по угрозам.
Ключевое усовершенствование Kimwolf v7 - это переход к гибридной и отказоустойчивой системе управления. В коде вредоноса зашиты пять публичных RPC-эндпоинтов Ethereum (интерфейсов для взаимодействия с блокчейном). Через них бот запрашивает блокчейн для разрешения ENS-домена (службы доменных имён Ethereum), чтобы получить актуальный IP-адрес командного сервера. Такой подход децентрализует инфраструктуру и затрудняет её блокировку. В качестве резервного канала связи используется жёстко прописанный адрес скрытого сервиса в сети Tor (v3 .onion), который активируется, если основное разрешение через ENS не срабатывает. Всё C2-трафик предварительно проходит через локальный прокси на адресе 127.0.0.1:23075, что позволяет злоумышленникам гибко менять маршрутизацию и независимо обновлять прокси-компонент. Эксперты Palo Alto Networks описали эту архитектуру, отметив её модульность и живучесть.
Параллельно с инфраструктурой развиваются и атаки. Диспетчерская таблица ботнета теперь поддерживает 15 методов DDoS, включая различные флуды (SYN, ACK, RST, UDP, ICMP), атаки на DNS, а также специфические векторы вроде epoll-based TCP connection flood и нацеленного на игровые серверы UDP-флуда на порт 27015. Наиболее значимым нововведением стала атака по протоколу HTTP/2. В отличие от примитивных флудов, эта атака создаёт полные отпечатки браузера Chrome, включая современные заголовки, такие как "sec-ch-ua", "sec-fetch-site" и другие, а также динамически генерируемые строки User-Agent. Это делает вредоносный трафик крайне сложным для отличия от легитимных запросов реальных пользователей, что значительно повышает эффективность атаки и затрудняет её смягчение. Кроме того, в коде присутствует высокопроизводительный вариант UDP-флуда, где для генерации псевдослучайных чисел используется алгоритм Xorshift256, а вычисление контрольных сумм IP/UDP пакетов ускорено за счёт SIMD-инструкций ARM NEON, что позволяет достичь максимальной скорости передачи пакетов на устройствах с процессорами ARM.
Для специалистов по информационной безопасности появление Kimwolf v7 служит важным сигналом. Традиционные методы защиты, основанные на блокировке IP-адресов или доменных имён, становятся менее эффективными против ботнетов, использующих блокчейн и анонимные сети. Организациям, особенно в сферах, зависящих от онлайн-сервисов, следует обратить внимание на мониторинг сетевой активности. Нехарактерные запросы к публичным Ethereum RPC-нодам или установление соединений с сетью Tor с IoT-устройств и гаджетов на Android теперь могут быть сильными поведенческими индикаторами компрометации. Это требует более глубокого анализа сетевого трафика и применения поведенческих сигнатур в системах обнаружения вторжений (IDS). Эволюция Kimwolf наглядно показывает, что угроза со стороны заражённых IoT-устройств не стоит на месте, а адаптируется к мерам защиты, становясь всё более изощрённой и долговременной.
Индикаторы компрометации
IPv4
- 74.125.250.129
Domains
- stun.cloudflare.com
Onion Domains
- edctgwib2n5l34t525zkxqzk5bqb6e5il2yiq5r6zu7gtlxa4uosn3qd.onion
URLs
- https://0xrpc.io/eth
- https://eth.llamarpc.com
- https://eth.merkle.io
- https://ethereum-rpc.publicnode.com
- https://eth-protect.rpc.blxrbdn.com
SHA256
- 406647de09a0ffa279756b4ccb344b1b76a333320c5b50fd367901fa006cf0ff
- 42ca5385fddf77c9a033b25c6a939e0ad1308a3f732d5468300993e70aae156b
- 42e0ace9e10e531584d158e290bd9357747f174ff82ef64443674e7631bb3995
- 567f6768e37a014bff65195f0e971457cee35d908fdf12269b0d534450783504
- 5d20d2942d39c79e971bac7de90de11b23308195b0ea06d4009fc561c6da7199
- 84cf4aac1e063394be3be68fea3cb9526e567c0aeaaf39b4834411970c00921e
- b947049e5d95d6ab93c5d628a09f477d9a6cf8df0f3a23cf4e7c525eccbbed92
- d338ace9e55e3f694f7130ad56e9bdd4af587c6ac819cbe9127a66f810863051
- ea06e68269daf763c546559a100048916c166622de6d7da7108f3d4ba1230184
- f7fa18599bfac9b7123f0348136caf5cce67ef8e3ba261c5ecf1dda84daa0373
