Cercetătorii XLab au identificat o nouă rețea botnet numită Kimwolf, activă în principal pe TV box-uri Android, care a compromis peste 1,8 milioane de dispozitive și a emis peste 1,7 miliarde de comenzi DDoS în doar trei zile. Botnetul este o evoluție a familiei Aisuru, dar cu funcții avansate de atac, proxy, control de la distanță și stocare fișiere.
Kimwolf este greu de detectat, folosind DNS over TLS, criptare Stack XOR și semnături digitale pentru autentificare. Cele mai noi versiuni se bazează pe domenii blockchain ENS pentru a evita blocarea tradițională. Într-un singur C2 preluat de cercetători, s-au observat interacțiuni de la peste 2,7 milioane de IP-uri unice, semn al unei distribuții masive.
Dispozitivele afectate sunt în special TV box-uri vulnerabile, cu firmware nesigur și fără update-uri regulate. Infrastructura botnetului e distribuită pe mai multe versiuni și fusuri orare, ceea ce face imposibilă estimarea exactă a amplorii, dar XLab estimează o capacitate DDoS de până la 30 Tbps, confirmată de atacuri recente în noiembrie și decembrie.
Cele mai afectate țări sunt Brazilia, India și SUA, însă botnetul are victime în peste 220 de regiuni și țări. Cercetătorii atrag atenția asupra pericolului tot mai mare al dispozitivelor smart nesecurizate, care devin ținte frecvente pentru rețele malware de proporții.
