Một botnet tấn công từ chối dịch vụ phân tán (DDoS) mới có tên Kimwolf đã tập hợp một đội quân khổng lồ gồm không dưới 1,8 triệu thiết bị bị nhiễm, bao gồm TV, set-top box và máy tính bảng chạy Android, và có thể liên quan đến một botnet khác có tên AISURU, theo phát hiện từ QiAnXin XLab.
"Kimwolf là một botnet được biên dịch bằng NDK [Native Development Kit]," công ty cho biết trong một báo cáo được công bố hôm nay. "Ngoài khả năng tấn công DDoS điển hình, nó còn tích hợp các chức năng chuyển tiếp proxy, reverse shell và quản lý tệp."
Botnet quy mô siêu lớn này ước tính đã phát hành 1,7 tỷ lệnh tấn công DDoS trong khoảng thời gian ba ngày từ ngày 19 đến 22 tháng 11 năm 2025, cùng thời điểm một trong các miền command-and-control (C2) của nó – 14emeliaterracewestroxburyma02132[.]su – đứng đầu trong danh sách 100 miền hàng đầu của Cloudflare, thậm chí vượt qua cả Google trong thời gian ngắn.
Mục tiêu lây nhiễm chính của Kimwolf là các TV box được triển khai trong môi trường mạng dân dụng. Một số mẫu thiết bị bị ảnh hưởng bao gồm TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV và MX10. Các ca lây nhiễm rải rác trên toàn cầu, với Brazil, Ấn Độ, Hoa Kỳ, Argentina, Nam Phi và Philippines ghi nhận nồng độ cao hơn. Tuy nhiên, phương tiện chính xác mà phần mềm độc hại được phát tán đến các thiết bị này hiện vẫn chưa rõ ràng.
XLab cho biết cuộc điều tra của họ về botnet bắt đầu sau khi nhận được một "phiên bản 4" artifact của Kimwolf từ một đối tác cộng đồng đáng tin cậy vào ngày 24 tháng 10 năm 2025. Kể từ đó, thêm tám mẫu đã được phát hiện vào tháng trước.
"Chúng tôi quan sát thấy các miền C2 của Kimwolf đã bị các bên không rõ danh tính gỡ xuống thành công ít nhất ba lần [trong tháng 12], buộc nó phải nâng cấp chiến thuật và chuyển sang sử dụng ENS (Ethereum Name Service) để củng cố cơ sở hạ tầng, thể hiện khả năng tiến hóa mạnh mẽ của nó," các nhà nghiên cứu XLab cho biết.
Đó vẫn chưa phải là tất cả. Đầu tháng này, XLab đã giành quyền kiểm soát thành công một trong các miền C2, cho phép họ đánh giá quy mô của botnet.
Một khía cạnh thú vị của Kimwolf là nó có liên quan đến botnet AISURU khét tiếng, vốn đứng sau một số cuộc tấn công DDoS phá kỷ lục trong năm qua. Nghi ngờ rằng những kẻ tấn công đã tái sử dụng mã từ AISURU trong giai đoạn đầu, trước khi chọn phát triển botnet Kimwolf để trốn tránh sự phát hiện.
XLab cho biết có thể một số cuộc tấn công này không chỉ đến từ AISURU, và Kimwolf có thể là đang tham gia hoặc thậm chí dẫn đầu các nỗ lực này.
"Hai botnet lớn này đã lây lan thông qua cùng một script lây nhiễm từ tháng 9 đến tháng 11, cùng tồn tại trong cùng một nhóm thiết bị," công ty cho biết. "Chúng thực sự thuộc cùng một nhóm hacker."
Đánh giá này dựa trên sự tương đồng trong các gói APK được tải lên nền tảng VirusTotal, trong một số trường hợp thậm chí còn sử dụng cùng một chứng chỉ ký mã ("John Dinglebert Dinglenut VIII VanSack Smith"). Bằng chứng xác thực hơn nữa đã đến vào ngày 8 tháng 12 năm 2025, với việc phát hiện một máy chủ downloader đang hoạt động ("93.95.112[.]59") chứa một script tham chiếu đến các APK cho cả Kimwolf và AISURU.
Bản thân malware này khá đơn giản. Sau khi được khởi chạy, nó đảm bảo rằng chỉ một phiên bản của tiến trình chạy trên thiết bị bị nhiễm, và sau đó tiến hành giải mã miền C2 được nhúng, sử dụng DNS-over-TLS để lấy địa chỉ IP của C2 và kết nối với nó để nhận và thực thi các lệnh.
Các phiên bản gần đây của phần mềm độc hại botnet được phát hiện gần đây nhất vào ngày 12 tháng 12 năm 2025, đã giới thiệu một kỹ thuật được gọi là EtherHiding sử dụng một miền ENS ("pawsatyou[.]eth") để tìm nạp IP C2 thực tế từ smart contract liên quan (0xde569B825877c47fE637913eCE5216C644dE081F) nhằm làm cho cơ sở hạ tầng của nó kiên cường hơn trước các nỗ lực gỡ xuống.
Cụ thể, điều này liên quan đến việc trích xuất địa chỉ IPv6 từ trường "lol" của giao dịch, sau đó lấy bốn byte cuối của địa chỉ và thực hiện phép toán XOR với khóa "0x93141715" để có được địa chỉ IP thực tế.
Bên cạnh việc mã hóa dữ liệu nhạy cảm liên quan đến máy chủ C2 và DNS resolver, Kimwolf sử dụng mã hóa TLS cho các giao tiếp mạng để nhận lệnh DDoS. Tổng cộng, malware này hỗ trợ 13 phương pháp tấn công DDoS qua UDP, TCP và ICMP. Các mục tiêu tấn công, theo XLab, nằm ở Hoa Kỳ, Trung Quốc, Pháp, Đức và Canada.
Phân tích thêm đã xác định rằng hơn 96% các lệnh liên quan đến việc sử dụng các node bot để cung cấp dịch vụ proxy. Điều này cho thấy nỗ lực của những kẻ tấn công nhằm khai thác băng thông từ các thiết bị bị xâm nhập và tối đa hóa lợi nhuận. Để thực hiện điều này, một module Command Client dựa trên Rust được triển khai để hình thành một mạng proxy.
Một SDK (Software Development Kit) ByteConnect cũng được gửi đến các node, một giải pháp kiếm tiền cho phép các nhà phát triển ứng dụng và chủ sở hữu thiết bị IoT kiếm tiền từ lưu lượng truy cập của họ.
"Các botnet khổng lồ bắt nguồn từ Mirai vào năm 2016, với mục tiêu lây nhiễm chủ yếu tập trung vào các thiết bị IoT như router băng thông rộng gia đình và camera," XLab cho biết. "Tuy nhiên, trong những năm gần đây, thông tin về nhiều botnet khổng lồ cấp độ triệu như Badbox, Bigpanzi, Vo1d và Kimwolf đã được tiết lộ, cho thấy một số kẻ tấn công đã bắt đầu chuyển sự chú ý sang nhiều TV thông minh và TV box khác nhau."
