Botnet có tên Kimwolf đã lây nhiễm hơn 2 triệu thiết bị Android bằng cách xâm nhập thông qua các mạng proxy dân cư, theo phát hiện từ Synthient.
"Các tác nhân chính liên quan đến botnet Kimwolf được quan sát là kiếm tiền từ botnet thông qua cài đặt ứng dụng, bán băng thông proxy dân cư và bán chức năng DDoS của nó," công ty cho biết trong một phân tích được công bố vào tuần trước.
Kimwolf lần đầu tiên được ghi nhận công khai bởi QiAnXin XLab vào tháng trước, trong khi ghi nhận các kết nối của nó với một botnet khác có tên là AISURU. Hoạt động từ ít nhất tháng 8 năm 2025, Kimwolf được đánh giá là một biến thể Android của AISURU. Có bằng chứng ngày càng tăng cho thấy botnet này thực sự đứng đằng sau một loạt các cuộc tấn công DDoS phá kỷ lục vào cuối năm ngoái.
Phần mềm độc hại này biến các hệ thống bị lây nhiễm thành các kênh để chuyển tiếp lưu lượng truy cập độc hại và điều phối các cuộc tấn công DDoS quy mô lớn. Phần lớn các ca lây nhiễm tập trung ở Việt Nam, Brazil, Ấn Độ và Ả Rập Xê Út, với Synthient quan sát thấy khoảng 12 triệu địa chỉ IP duy nhất mỗi tuần.
Các cuộc tấn công phân phối botnet chủ yếu được phát hiện nhắm mục tiêu vào các thiết bị Android đang chạy dịch vụ Android Debug Bridge (ADB) bị lộ, sử dụng cơ sở hạ tầng quét (scanning infrastructure) sử dụng các proxy dân cư để cài đặt phần mềm độc hại. Không dưới 67% thiết bị kết nối với botnet là chưa được xác thực (unauthenticated) và có ADB được bật mặc định.
Người ta nghi ngờ rằng các thiết bị này được lây nhiễm sẵn các bộ công cụ phát triển phần mềm (SDKs) từ các nhà cung cấp proxy để bí mật đưa chúng vào botnet. Các thiết bị bị xâm nhập hàng đầu bao gồm TV thông minh và hộp giải mã tín hiệu (set-top boxes) Android không chính thức.
Mới đây vào tháng 12 năm 2025, các ca lây nhiễm Kimwolf đã tận dụng địa chỉ IP proxy được cho thuê bởi IPIDEA có trụ sở tại Trung Quốc, công ty này đã triển khai một bản vá bảo mật vào ngày 27 tháng 12 để chặn quyền truy cập vào các thiết bị mạng cục bộ và nhiều cổng nhạy cảm khác. IPIDEA tự mô tả mình là "nhà cung cấp IP proxy hàng đầu thế giới" với hơn 6,1 triệu địa chỉ IP được cập nhật hàng ngày và 69.000 địa chỉ IP mới hàng ngày.
Nói cách khác, phương thức hoạt động (modus operandi) là tận dụng mạng proxy của IPIDEA và các nhà cung cấp proxy khác, sau đó "đào hầm" qua các mạng cục bộ của các hệ thống đang chạy phần mềm proxy để thả phần mềm độc hại. Payload chính lắng nghe trên cổng 40860 và kết nối với 85.234.91[.]247:1337 để nhận thêm lệnh.
"Quy mô của lỗ hổng này là chưa từng có, khiến hàng triệu thiết bị phơi nhiễm trước các cuộc tấn công," Synthient cho biết.
Hơn nữa, các cuộc tấn công lây nhiễm các thiết bị bằng một dịch vụ kiếm tiền từ băng thông có tên là Plainproxies Byteconnect SDK, cho thấy những nỗ lực kiếm tiền rộng hơn. SDK này sử dụng 119 máy chủ chuyển tiếp (relay servers) nhận các tác vụ proxy từ máy chủ command-and-control, sau đó được thực thi bởi thiết bị bị xâm nhập.
Synthient cho biết họ đã phát hiện cơ sở hạ tầng được sử dụng để thực hiện các cuộc tấn công credential-stuffing nhắm mục tiêu vào các máy chủ IMAP và các trang web trực tuyến phổ biến.
"Chiến lược kiếm tiền của Kimwolf đã trở nên rõ ràng ngay từ đầu thông qua việc bán các residential proxies một cách tích cực," công ty cho biết. "Bằng cách cung cấp proxy với giá thấp tới 0,20 cent mỗi GB hoặc 1.400 đô la mỗi tháng cho băng thông không giới hạn, nó sẽ sớm được một số nhà cung cấp proxy chấp nhận."
"Việc phát hiện các hộp TV bị nhiễm sẵn và việc kiếm tiền từ các bot này thông qua các SDK phụ như Byteconnect cho thấy mối quan hệ ngày càng sâu sắc giữa các threat actors và các nhà cung cấp proxy thương mại."
Để chống lại rủi ro này, các nhà cung cấp proxy được khuyến nghị chặn các yêu cầu tới các địa chỉ RFC 1918, đây là dải địa chỉ IP riêng được định nghĩa để sử dụng trong các mạng riêng (private networks). Các tổ chức được khuyên nên khóa chặt các thiết bị đang chạy các shell ADB chưa được xác thực (unauthenticated ADB shells) để ngăn chặn truy cập trái phép.
