Het Kimwolf-botnet heeft naar schatting meer dan 2 miljoen Android-apparaten geïnfecteerd. Securityexperts waarschuwen dat het malafide netwerk zich via residential proxy’s verspreidt en apparaten misbruikt voor DDoS-aanvallen. Cloudflare registreerde pieken tot 29,7 Tbps.
Het Kimwolf-botnet is sinds begin augustus 2025 zeer actief. Securitybedrijf Synthient schat dat het aantal besmette apparaten inmiddels de 2 miljoen is gepasseerd. Het netwerk richt zich vooral op Android-apparaten met een onbeveiligde Android Debug Bridge (ADB). Opmerkelijk is dat de infecties plaatsvinden via residential proxy’s.
Proxyproviders krijgen het advies om risicovolle poorten te blokkeren en de toegang tot het lokale netwerk te beperken. Gebruikers kunnen via synthient.com/check controleren of ze getroffen zijn. Geïnfecteerde TV-boxes moeten worden gewist of vernietigd. Organisaties moeten verbindingen naar de genoemde C2-servers en -domeinen blokkeren.
Novel exploitatie van proxynetwerken
Kimwolf is de Android-variant van het Aisuru DDoS-botnet. Het netwerk groeide in enkele maanden tijd naar minimaal 2 miljoen gecompromitteerde apparaten. De snelle groei komt door de nieuwe manier waarop het residential proxynetwerken exploiteert.
Cloudflare meldde dat Kimwolf DDoS-aanvallen uitvoert met pieken tot 29,7 Tbps of 14,1 Bpps. De actoren achter het botnet verdienen aan app-installaties, de verkoop van residential proxybandbreedde en DDoS-functionaliteit. Het honeypot-netwerk van Synthient registreerde op 12 november een toename in het targeten van het domein xd[.]resi[.]to vanaf het IPIDEA-proxynetwerk. Dit domein wijst naar 0[.]0[.]0[.]0, wat verwijst naar het apparaat waarop de proxy-SDK draait.
Synthient verwacht dat meer dreigingsactoren geïnteresseerd raken in onbeperkte toegang tot proxynetwerken. Doel is het infecteren van apparaten, verkrijgen van netwerktoegang of toegang tot gevoelige informatie.
Tip: ASUS reageert op botnetaanval: fabrieksreset noodzakelijk