Mạng botnet Kimwolf chiếm quyền kiểm soát 1,8 triệu TV Android và tấn công DDoS

[T-X]

Một mạng botnet tấn công từ chối dịch vụ phân tán (DDoS) mới có tên Kimwolf đã chiêu mộ một đội quân khổng lồ gồm không dưới 1,8 triệu thiết bị bị nhiễm, bao gồm TV, đầu thu kỹ thuật số và máy tính bảng chạy hệ điều hành Android, và có thể liên quan đến một mạng botnet khác có tên AISURU, theo phát hiện từ QiAnXin XLab.

"Kimwolf là một mạng botnet được biên dịch bằng NDK [Bộ công cụ phát triển gốc]," công ty cho biết trong một báo cáo được công bố hôm nay. "Ngoài các khả năng tấn công DDoS thông thường, nó còn tích hợp các chức năng chuyển tiếp proxy, shell đảo ngược và quản lý tập tin."

Mạng botnet siêu quy mô này được ước tính đã phát ra 1,7 tỷ lệnh tấn công DDoS trong khoảng thời gian ba ngày từ ngày 19 đến 22 tháng 11 năm 2025, cùng thời điểm một trong những tên miền điều khiển (C2) của nó – 14emeliaterracewestroxburyma02132[.]su – đứng đầu danh sách 100 tên miền hàng đầu của Cloudflare, thậm chí vượt qua cả Google trong một thời gian ngắn.

Mục tiêu lây nhiễm chính của Kimwolf là các thiết bị TV box được triển khai trong môi trường mạng gia đình. Một số mẫu thiết bị bị ảnh hưởng bao gồm TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV và MX10. Các trường hợp lây nhiễm rải rác trên toàn cầu, với Brazil, Ấn Độ, Mỹ, Argentina, Nam Phi và Philippines ghi nhận tỷ lệ cao hơn. Tuy nhiên, phương thức chính xác mà phần mềm độc hại này lây lan đến các thiết bị này hiện vẫn chưa rõ.

XLab cho biết cuộc điều tra về mạng botnet này bắt đầu sau khi họ nhận được một mẫu "phiên bản 4" của Kimwolf từ một đối tác cộng đồng đáng tin cậy vào ngày 24 tháng 10 năm 2025. Kể từ đó, tám mẫu bổ sung đã được phát hiện vào tháng trước.

Các nhà nghiên cứu của XLab cho biết: "Chúng tôi nhận thấy rằng các tên miền C2 của Kimwolf đã bị các bên không rõ danh tính đánh sập thành công ít nhất ba lần [trong tháng 12], buộc nó phải nâng cấp chiến thuật và chuyển sang sử dụng ENS (Ethereum Name Service) để củng cố cơ sở hạ tầng của mình, chứng tỏ khả năng tiến hóa mạnh mẽ của nó."

Đó chưa phải là tất cả. Đầu tháng này, XLab đã giành quyền kiểm soát thành công một trong các tên miền C2, cho phép họ đánh giá quy mô của mạng botnet.

Một khía cạnh thú vị của Kimwolf là nó có liên hệ với mạng botnet AISURU khét tiếng, vốn đứng sau một số cuộc tấn công DDoS phá kỷ lục trong năm qua. Người ta nghi ngờ rằng những kẻ tấn công đã tái sử dụng mã từ AISURU trong giai đoạn đầu, trước khi quyết định phát triển mạng botnet Kimwolf để tránh bị phát hiện.

XLab cho biết có khả năng một số cuộc tấn công này không chỉ đến từ AISURU, và Kimwolf có thể đang tham gia hoặc thậm chí dẫn đầu các nỗ lực này.

"Hai mạng botnet lớn này đã lan truyền thông qua cùng một kịch bản lây nhiễm từ tháng 9 đến tháng 11, cùng tồn tại trong cùng một nhóm thiết bị," công ty cho biết. "Chúng thực chất thuộc cùng một nhóm tin tặc."

Đánh giá này dựa trên sự tương đồng trong các gói APK được tải lên nền tảng VirusTotal, trong một số trường hợp thậm chí còn sử dụng cùng một chứng chỉ ký mã ("John Dinglebert Dinglenut VIII VanSack Smith"). Bằng chứng xác thực hơn nữa đã xuất hiện vào ngày 8 tháng 12 năm 2025, với việc phát hiện ra một máy chủ tải xuống đang hoạt động ("93.95.112[.]59") chứa một tập lệnh tham chiếu đến các APK của cả Kimwolf và AISURU.

Phần mềm độc hại này khá đơn giản. Sau khi khởi chạy, nó đảm bảo chỉ có một tiến trình duy nhất chạy trên thiết bị bị nhiễm, sau đó tiến hành giải mã tên miền C2 được nhúng, sử dụng DNS-over-TLS để lấy địa chỉ IP của C2 và kết nối với nó để nhận và thực thi các lệnh.

Các phiên bản gần đây của phần mềm độc hại botnet được phát hiện vào ngày 12 tháng 12 năm 2025 đã giới thiệu một kỹ thuật được gọi là EtherHiding, sử dụng tên miền ENS ("pawsatyou[.]eth") để lấy địa chỉ IP C2 thực từ hợp đồng thông minh liên kết ( 0xde569B825877c47fE637913eCE5216C644dE081F ) nhằm mục đích làm cho cơ sở hạ tầng của nó có khả năng chống chịu tốt hơn trước các nỗ lực triệt phá.

Cụ thể, quá trình này bao gồm việc trích xuất địa chỉ IPv6 từ trường "lol" của giao dịch, sau đó lấy bốn byte cuối cùng của địa chỉ và thực hiện phép toán XOR với khóa "0x93141715" để lấy địa chỉ IP thực.

Ngoài việc mã hóa dữ liệu nhạy cảm liên quan đến máy chủ C2 và trình phân giải DNS, Kimwolf còn sử dụng mã hóa TLS cho các liên lạc mạng để nhận lệnh tấn công DDoS. Tổng cộng, phần mềm độc hại này hỗ trợ 13 phương thức tấn công DDoS qua UDP, TCP và ICMP. Theo XLab, các mục tiêu tấn công nằm ở Mỹ, Trung Quốc, Pháp, Đức và Canada.

Phân tích sâu hơn cho thấy hơn 96% các lệnh liên quan đến việc sử dụng các nút bot để cung cấp dịch vụ proxy. Điều này cho thấy nỗ lực của kẻ tấn công nhằm khai thác băng thông từ các thiết bị bị xâm nhập và tối đa hóa lợi nhuận. Là một phần của nỗ lực này, một mô-đun Command Client dựa trên Rust được triển khai để tạo thành một mạng proxy.

Ngoài ra, các nút mạng còn được cung cấp bộ công cụ phát triển phần mềm (SDK) ByteConnect, một giải pháp kiếm tiền cho phép các nhà phát triển ứng dụng và chủ sở hữu thiết bị IoT kiếm tiền từ lưu lượng truy cập của họ.

XLab cho biết: "Các mạng botnet khổng lồ bắt nguồn từ Mirai vào năm 2016, với mục tiêu lây nhiễm chủ yếu tập trung vào các thiết bị IoT như bộ định tuyến băng thông rộng gia đình và camera. Tuy nhiên, trong những năm gần đây, thông tin về nhiều mạng botnet khổng lồ cấp triệu như Badbox, Bigpanzi, Vo1d và Kimwolf đã được tiết lộ, cho thấy một số kẻ tấn công đã bắt đầu chuyển sự chú ý sang nhiều loại TV thông minh và hộp TV khác nhau."