Растущий ботнет Kimwolf использует прокси-сервисы для скрытой разведки в корпоративных сетях

Особую опасность представляют мобильные приложения со встроенными компонентами для монетизации трафика через прокси. Зачастую пользователи не подозревают, что их устройства становятся частью такой сети, превращаясь в невольный вектор заражения. Телеметрия DNS компании Infoblox показывает, что ботнет Kimwolf с помощью резидентских прокси зондировал сети предприятий и учреждений по всему миру. Тревожным сигналом стало то, что почти 25% клиентов сервиса Infoblox Threat Defense Cloud осуществляли запросы к доменам Kimwolf. Это указывает на наличие конечных точек прокси в этих корпоративных сетях.

Эксперты отмечают, что резидентские прокси, маршрутизирующие интернет-трафик через устройства обычных пользователей, имеют законные применения. Однако, как неоднократно демонстрировала история, злоумышленники активно злоупотребляют ими для скрытия своей активности. Исследование компании Synthient детально описывает, как комбинация DNS-уловок, массы уязвимых устройств и дыр в безопасности позволила операторам Kimwolf захватить миллионы устройств в домашних сетях за считанные месяцы.

Анализ данных Infoblox выявил интересную динамику. Пик запросов к доменам Kimwolf пришелся на начало октября, после чего активность почти сошла на нет, что совпадает с наблюдениями Synthient. Однако в конце декабря 2025 года появились запросы к новым доменам угрозы. Это свидетельствует о постоянной эволюции ботнета и смене его инфраструктуры.

Подавляющее большинство целей Kimwolf - это Android TV-устройства в домашних сетях. Поэтому в корпоративных средах клиентов Infoblox, вероятно, немного полноценных членов ботнета. Тем не менее, сам факт возможности скрытого зондирования локальной сети представляет серьезный риск. Устройство сотрудника, например ноутбук или смартфон, неосознанно участвующее в прокси-сети, может быть использовано как плацдарм для поиска уязвимостей внутри организации.

Отдельное внимание исследователи уделили сервисам резидентских прокси IPIDEA и Plainproxies, которые, по данным Synthient, используются Kimwolf. Более 20% клиентов Infoblox осуществляли запросы к API-эндпоинту IPIDEA, что может указывать на наличие их прокси-софта в сетях. Компания IPIDEA, получив уведомление об уязвимости, уже усилила безопасность своего продукта. Plainproxies, чье распространение связано с SDK для разработчиков Byteconnect, на запросы исследователей не ответила.

Главный вывод для организаций любого масштаба - необходимо повышать осведомленность об этой скрытой угрозе. Хотя сегодня основной целью являются потребительские Android TV, завтра под удар могут попасть критичные системы, например, медицинское оборудование. Эксперты рекомендуют риск-ориентированным компаниям внедрять защитный DNS (protective DNS) для обнаружения и блокировки трафика через резидентские прокси внутри сети. Также критически важно анализировать логи DNS-запросов на предмет обращений к известным доменам угрозы и проверять текущие политики безопасности DNS-резолверов. Блокировка запросов к подозрительным доменам должна стать стандартной практикой. Дополнительной мерой может быть проверка своих IP-адресов через специализированные сервисы, отслеживающие активность Kimwolf и резидентских прокси.

Domains

• 14emeliaterracewestroxburyma02132.su
• 713mtauburnctcolumbusoh43085.st
• hahaezretard3.713mtauburnctcolumbusoh43085.st
• ipinfo.ipidea.io
• new-endpoints.byteconnect.io
• r.lolbrogg123424.com
• xd.mob.to
• xd.resi.to