Các nhà nghiên cứu an ninh mạng đã phát hiện một phần mềm độc hại mới có tên KadNap, chủ yếu nhắm mục tiêu vào các bộ định tuyến Asus để biến chúng thành một mạng botnet nhằm chuyển tiếp lưu lượng truy cập độc hại.
Phần mềm độc hại này, lần đầu tiên được phát hiện trên diện rộng vào tháng 8 năm 2025, đã lây lan sang hơn 14.000 thiết bị bị nhiễm, với hơn 60% nạn nhân ở Hoa Kỳ, theo nhóm Black Lotus Labs của Lumen. Một số lượng nhỏ hơn các trường hợp lây nhiễm đã được phát hiện ở Đài Loan, Hồng Kông, Nga, Vương quốc Anh, Úc, Brazil, Pháp, Ý và Tây Ban Nha.
"KadNap sử dụng một phiên bản tùy chỉnh của giao thức Kademlia Distributed Hash Table (DHT), được dùng để che giấu địa chỉ IP của cơ sở hạ tầng trong một hệ thống peer-to-peer nhằm tránh bị giám sát mạng truyền thống," công ty an ninh mạng cho biết trong một báo cáo chia sẻ với The Hacker News.
Các nút bị xâm nhập trong mạng tận dụng giao thức DHT để định vị và kết nối với máy chủ command-and-control (C2), từ đó giúp nó có khả năng chống lại các nỗ lực phát hiện và phá vỡ.
Khi các thiết bị bị xâm nhập thành công, chúng được tiếp thị bởi một dịch vụ proxy có tên Doppelgänger ("doppelganger[.]shop"), được đánh giá là một thương hiệu đổi tên của Faceless, một dịch vụ proxy khác liên quan đến mã độc TheMoon. Doppelgänger, theo trang web của mình, tuyên bố cung cấp các resident proxies ở hơn 50 quốc gia mang lại "100% anonymity." Dịch vụ này được cho là đã ra mắt vào tháng 5/tháng 6 năm 2025.
Mặc dù tập trung vào các bộ định tuyến Asus, các nhà điều hành của KadNap đã được phát hiện triển khai mã độc chống lại một bộ sưu tập đa dạng các edge networking devices.
Trọng tâm của cuộc tấn công là một shell script ("aic.sh") được tải xuống từ máy chủ C2 ("212.104.141[.]140"), chịu trách nhiệm khởi tạo quá trình đưa nạn nhân vào mạng P2P. Tệp này tạo một cron job để truy xuất shell script từ máy chủ vào phút thứ 55 của mỗi giờ, đổi tên nó thành ".asusrouter" và chạy nó.
Sau khi thiết lập persistence, script sẽ kéo một tệp ELF độc hại, đổi tên nó thành "kad" và thực thi nó. Điều này, đến lượt nó, dẫn đến việc triển khai KadNap. Mã độc này có khả năng nhắm mục tiêu vào các thiết bị chạy cả bộ xử lý ARM và MIPS.
KadNap cũng được thiết kế để kết nối với máy chủ Network Time Protocol (NTP) để lấy thời gian hiện tại và lưu trữ nó cùng với host uptime. Thông tin này đóng vai trò là cơ sở để tạo một hash được sử dụng để định vị các peers khác trong mạng phi tập trung để nhận lệnh hoặc tải xuống các tệp bổ sung.
Các tệp – fwr.sh và /tmp/.sose – chứa chức năng đóng port 22, port TCP tiêu chuẩn cho Secure Shell (SSH), trên thiết bị bị nhiễm và trích xuất danh sách các tổ hợp IP address:port của C2 để kết nối.
"Tóm lại, việc sử dụng sáng tạo giao thức DHT cho phép mã độc thiết lập các kênh liên lạc mạnh mẽ, khó bị phá vỡ, bằng cách ẩn mình trong 'tiếng ồn' của lưu lượng peer-to-peer hợp pháp," Lumen cho biết.
Phân tích thêm đã xác định rằng không phải tất cả các thiết bị bị xâm nhập đều giao tiếp với mọi máy chủ C2, cho thấy cơ sở hạ tầng đang được phân loại dựa trên device type và models.
Nhóm Black Lotus Labs nói với The Hacker News rằng các bot của Doppelgänger đang bị các threat actors lạm dụng. "Một vấn đề là do các thiết bị Asus (và các thiết bị khác) đôi khi cũng bị nhiễm các mã độc khác, nên rất khó để nói chính xác ai chịu trách nhiệm về một hoạt động độc hại cụ thể," công ty cho biết.
Người dùng đang sử dụng các SOHO routers được khuyên nên cập nhật thiết bị của họ, khởi động lại chúng thường xuyên, thay đổi mật khẩu mặc định, bảo mật các management interfaces và thay thế các models đã end-of-life và không còn được hỗ trợ.
"Botnet KadNap nổi bật giữa các botnet khác hỗ trợ anonymous proxies trong việc sử dụng mạng peer-to-peer để kiểm soát phi tập trung," Lumen kết luận. "Ý định của chúng rất rõ ràng, tránh bị phát hiện và gây khó khăn cho các defenders trong việc bảo vệ."
Mối đe dọa Linux mới ClipXDaemon xuất hiện
Thông tin này được đưa ra khi Cyble công bố chi tiết một mối đe dọa Linux mới có tên ClipXDaemon, được thiết kế để nhắm mục tiêu vào người dùng cryptocurrency bằng cách chặn và thay đổi các địa chỉ ví đã sao chép. Mã độc clipper malware này, được phân phối thông qua Linux post-exploitation framework có tên ShadowHS, đã được mô tả là một cryptocurrency clipboard hijacker tự động nhắm mục tiêu vào các môi trường Linux X11.
Được dàn dựng hoàn toàn trong bộ nhớ, mã độc này sử dụng các kỹ thuật tàng hình, chẳng hạn như process masquerading và Wayland session avoidance, đồng thời giám sát clipboard cứ sau 200 mili giây và thay thế các địa chỉ cryptocurrency bằng các ví do kẻ tấn công kiểm soát. Nó có khả năng nhắm mục tiêu vào các ví Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple và TON.
Quyết định tránh thực thi trong các Wayland sessions là có chủ đích, vì kiến trúc bảo mật của giao thức display server này đặt ra các kiểm soát bổ sung, như yêu cầu tương tác rõ ràng của người dùng, trước khi các ứng dụng có thể truy cập nội dung clipboard. Bằng cách tự vô hiệu hóa trong các kịch bản như vậy, mã độc nhằm mục đích loại bỏ nhiễu và tránh runtime failure.
"ClipXDaemon khác biệt cơ bản so với mã độc Linux truyền thống. Nó không chứa logic command-and-control (C2), không thực hiện beaconing và không yêu cầu remote tasking," công ty cho biết. "Thay vào đó, nó kiếm tiền trực tiếp từ nạn nhân bằng cách chiếm đoạt các địa chỉ ví cryptocurrency được sao chép trong các X11 sessions và thay thế chúng theo thời gian thực bằng các địa chỉ do kẻ tấn công kiểm soát."
