От миналата есен насам екипът на Black Lotus Labs в

От предходната есен насам екипът на Black Lotus Labs в Lumen Technologies е блокирал повече от 550 контролни сървъра, свързани с ботнетите AISURU и Kimwolf. Тези злонамерени мрежи не престават да са измежду най-големите в своята категория, като ръководят инфектирани устройства за осъществяване на DDoS офанзиви и ориентиране на трафика посредством домашни прокси услуги.

Специалистите от QiAnXin обърнаха особено внимание на Kimwolf, като в детайли изследваха неговата архитектура. Според техните констатации зловредният програмен продукт се популяризира основно посредством несертифицирани декодери с Android, като ги трансформира в прокси възли благодарение на вграден SDK, наименуван ByteConnect. Разпространението се прави както непосредствено, по този начин и посредством съмнителни приложения, конфигурирани на устройствата по дифолт. В резултат на заразяването повече от 2 милиона устройства с отворен ADB интерфейс стават част от мрежа, употребена за заобикаляне на филтрирането на трафика и по-нататъшно заразяване на други устройства.

По-късно стана ясно, че основателите на Kimwolf освен са отдавали чартърен достъпа до инфектираните устройства, само че и са се опитвали да продават прокси трафик против закрепена такса. През септември екипът на Black Lotus Labs откри интензивност, идваща от канадски IP адреси, които се свързват посредством SSH с контролните сървъри на ботнета.

Един от тези домейни даже съумя да изпревари Гугъл в листата на най-популярните домейни на Cloudflare през ноември, преди да бъде отстранен от класацията.

През октомври е открит още един надзорен сървър, хостван на IP адреса на основания в Юта снабдител на хостинг услуги Resi Rack LLC. Компанията се показва като снабдител на сървъри за игри, само че се оказа, че съоснователите ѝ са взели участие в продажбата на прокси достъп посредством сървър на Discord, наименуван resi[.]to. Оттогава този канал за връзка е липсващ, само че той е бил каналът, употребен за дейна продажба на инфектирани хостове.

По същото време Black Lotus Labs записва внезапен скок в броя на новите ботове в мрежата на Kimwolf – доникъде на октомври общият им брой достигнал 800 000. Почти всички от тях са били предлагани за продажба посредством една и съща прокси услуга. Разследването разкри, че ботнетът интензивно е сканирал услуги като PYPROXY за уязвимости и е заразявал устройства, поддържащи ADB в локалните мрежи. Този метод е разрешил те да бъдат превърнати в прокси възли и отдадени чартърен на нападатели, които по-късно са употребявали достъпа за по-нататъшно разпространяване на злотворен програмен продукт.

След като един от сървърите на ботнета беше блокиран през октомври, операторите реалокираха контрола на различен IP адрес, също благосъстоятелност на Resi Rack LLC. Скоро последва внезапен скок в интензивността на предаване на злотворен програмен продукт, което демонстрира тясна връзка сред IP адресите и инфраструктурата на AISURU. На този декор беше обявено за нова прокси мрежа от над 800 компрометирани рутера, основани на KeeneticOS. Според отчета идентичните конфигурации и SSH отпечатъци сочат автоматизирания темперамент на хакването – евентуално посредством откраднати пароли или вградени уязвимости във фърмуера.

Заразените рутери са били употребявани като прокси сървъри, което е помогнало на нападателите да прикрият злонамерената активност като естествен трафик от домашни консуматори. Такива устройства, за разлика от центровете за данни или комерсиалните хостинги не се включват в описите за подозрителна активност и мъчно се откриват със общоприетите принадлежности за разбор на трафика.