Nhóm Black Lotus Labs tại Lumen Technologies cho biết họ đã null-routed lưu lượng truy cập đến hơn 550 nút chỉ huy và kiểm soát (C2) liên quan đến botnet AISURU/Kimwolf kể từ đầu tháng 10 năm 2025.
AISURU và phiên bản Android của nó, Kimwolf, đã nổi lên như một trong những botnet lớn nhất trong thời gian gần đây, có khả năng chỉ đạo các thiết bị bị chiếm đoạt tham gia vào các cuộc tấn công distributed denial-of-service (DDoS) và chuyển tiếp lưu lượng độc hại cho các residential proxy services.
Thông tin chi tiết về Kimwolf đã được công bố vào tháng trước khi QiAnXin XLab xuất bản một phân tích sâu rộng về malware này, vốn biến các thiết bị bị xâm nhập – chủ yếu là các thiết bị Android TV streaming không được cấp phép – thành một residential proxy bằng cách phân phối một software development kit (SDK) có tên ByteConnect trực tiếp hoặc thông qua các ứng dụng đáng ngờ được cài đặt sẵn trên chúng.
Kết quả là botnet này đã mở rộng để lây nhiễm hơn 2 triệu thiết bị Android với dịch vụ Android Debug Bridge (ADB) bị lộ thông qua việc tạo tunnel qua các mạng residential proxy, qua đó cho phép các threat actors xâm nhập một loạt các TV box.
Một báo cáo sau đó từ Synthient đã tiết lộ các actors của Kimwolf đang cố gắng bán băng thông proxy để đổi lấy tiền mặt trả trước.
Black Lotus Labs cho biết họ đã xác định vào tháng 9 năm 2025 một nhóm các kết nối residential SSH bắt nguồn từ nhiều IP addresses của Canada dựa trên phân tích C2 backend của Aisuru tại 65.108.5[.]46, với các IP addresses sử dụng SSH để truy cập 194.46.59[.]169, đó là proxy-sdk.14emeliaterracewestroxburyma02132[.]su.
Đáng chú ý là domain cấp hai này đã vượt qua Google trong danh sách 100 domain hàng đầu của Cloudflare vào tháng 11 năm 2025, khiến công ty hạ tầng web phải xóa nó khỏi danh sách.
Sau đó, vào đầu tháng 10 năm 2025, công ty cybersecurity này cho biết họ đã xác định một C2 domain khác – greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su – giải quyết thành 104.171.170[.]21, một IP address thuộc về nhà cung cấp hosting Resi Rack LLC có trụ sở tại Utah. Công ty này tự quảng cáo là "Nhà cung cấp hosting máy chủ game cao cấp".
Liên kết này rất quan trọng, vì một báo cáo gần đây từ nhà báo bảo mật độc lập Brian Krebs đã tiết lộ cách những người đứng sau các proxy services khác nhau dựa trên các botnet này đã bán phần mềm của họ trên một Discord server có tên resi[.]to. Điều này cũng bao gồm các đồng sáng lập của Resi Rack, những người được cho là đã tích cực tham gia vào việc bán proxy services qua Discord trong gần hai năm.
Server này, vốn đã biến mất, thuộc sở hữu của một người tên "d" (được đánh giá là viết tắt của handle "Dort"), với Snow được cho là botmaster.
Vào đầu tháng 10, chúng tôi đã quan sát thấy số lượng bot mới được thêm vào Kimwolf tăng 300% trong khoảng thời gian 7 ngày, đây là khởi đầu của sự gia tăng đạt tổng cộng 800.000 bot vào giữa tháng. Gần như tất cả các bot trong đợt tăng này đều được tìm thấy được rao bán trên một residential proxy service duy nhất.
Sau đó, kiến trúc C2 của Kimwolf được phát hiện đã quét PYPROXY và các dịch vụ khác để tìm kiếm các thiết bị dễ bị tấn công trong khoảng thời gian từ ngày 20 tháng 10 năm 2025 đến ngày 6 tháng 11 năm 2025 – một hành vi được giải thích bằng việc botnet khai thác một lỗ hổng bảo mật trong nhiều proxy services, cho phép tương tác với các thiết bị trên mạng nội bộ của các residential proxy endpoints và thả malware.
Điều này, đến lượt nó, biến thiết bị thành một residential proxy node, khiến IP address công khai của nó (được gán bởi Internet Service Provider) được niêm yết cho thuê trên một trang web của nhà cung cấp residential proxy. Các threat actors, như những kẻ đứng sau các botnet này, sau đó thuê quyền truy cập vào nút bị nhiễm và vũ khí hóa nó để quét mạng cục bộ tìm các thiết bị có chế độ ADB được bật để tiếp tục lây lan.
Sau một lần null route thành công [vào tháng 10 năm 2025], chúng tôi quan sát thấy domain greatfirewallisacensorshiptool chuyển sang 104.171.170[.]201, một IP khác của Resi Rack LLC. Khi máy chủ này hoạt động, chúng tôi thấy lưu lượng truy cập tăng đột biến với 176.65.149[.]19:25565, một máy chủ được sử dụng để lưu trữ malware của họ. Điều này diễn ra trên một ASN phổ biến được botnet Aisuru sử dụng cùng thời điểm.
Thông tin tiết lộ này được đưa ra trong bối cảnh một báo cáo từ Chawkr đã mô tả chi tiết một mạng proxy phức tạp chứa 832 router KeeneticOS bị chiếm đoạt đang hoạt động trên các ISP của Nga, chẳng hạn như Net By Net Holding LLC, VladLink và GorodSamara.
Các SSH fingerprints nhất quán và cấu hình giống hệt nhau trên tất cả 832 thiết bị cho thấy việc khai thác hàng loạt tự động, cho dù tận dụng các stolen credentials, backdoors được nhúng, hay các security flaws đã biết trong router firmware. Mỗi router bị xâm nhập đều duy trì cả quyền truy cập HTTP (port 80) và SSH (port 22).
Do các SOHO routers bị xâm nhập này hoạt động như các residential proxy nodes, chúng cung cấp cho các threat actors khả năng thực hiện các hoạt động độc hại bằng cách hòa vào lưu lượng internet thông thường. Điều này minh họa cách các đối thủ đang ngày càng tận dụng các thiết bị tiêu dùng làm kênh cho các cuộc tấn công multi-stage.
Không giống như các datacenter IPs hoặc các địa chỉ từ các nhà cung cấp hosting đã biết, các residential endpoints này hoạt động dưới radar của hầu hết các danh sách reputation của nhà cung cấp bảo mật và threat intelligence feeds.
Việc phân loại residential hợp pháp và reputation IP sạch của chúng cho phép lưu lượng độc hại ngụy trang thành hoạt động tiêu dùng thông thường, trốn tránh các cơ chế phát hiện sẽ ngay lập tức gắn cờ các yêu cầu bắt nguồn từ cơ sở hạ tầng hosting đáng ngờ hoặc các proxy services đã biết.
