La botnet Kimwolf minaccia i tuoi dispositivi Android quotidiani. Se possiedi una smart TV box, un decoder streaming o un tablet economico, potresti essere a rischio: questa rete malevola ha infettato milioni di device in tutto il mondo, usandoli per attacchi cyber nascosti. Soluzione rapida: esegui un reset di fabbrica, disconnetti da internet e disabilita Android Debug Bridge (ADB).
Questa minaccia opera in silenzio, senza avvisi visibili, sfruttando la tua connessione per spam, frodi pubblicitarie e assalti a siti web. Capire il funzionamento è il primo passo per difenderti.
Come si diffonde l’infezione Kimwolf
La botnet è emersa all’inizio di agosto 2025 e ha raggiunto rapidamente 2 milioni di dispositivi infetti, superando i 3,66 milioni di IP unici entro dicembre. I vettori principali sono due: molti device economici, come TV box e set-top box, arrivano preinstallati con malware e ADB esposto di fabbrica. Gli attaccanti sfruttano reti proxy residenziali per scansionare e compromettere altri apparecchi.
Una volta rilevato un device vulnerabile con ADB aperto, basta una sequenza di comandi per installare il payload da server controllati dai criminali. Questo metodo abbassa drasticamente la barriera tecnica, rendendo i prodotti low-cost bersagli ideali, spesso venduti tramite canali discount.
Il ruolo delle reti proxy residenziali
Kimwolf è particolarmente insidiosa perché sfrutta le reti proxy residenziali, usate legittimamente per web scraping e test di sicurezza. I provider lasciano lacune che permettono agli hacker di infettare su vasta scala: circa il 67% dei device in questi pool manca di autenticazione, esponendo a esecuzione remota di codice.
I dispositivi infetti diventano nodi della botnet, relayando traffico per proxy illeciti, DDoS e frodi. Gli operatori monetizzano vendendo banda residenziale, installazioni app e servizi di attacco ad altri criminali.
Distribuzione geografica e impatti
Le infezioni si concentrano in Vietnam, Brasile, India e Arabia Saudita, generando 12 milioni di IP unici settimanali. Tra il 19 e il 22 novembre 2025, Kimwolf ha lanciato 1,7 miliardi di comandi DDoS in tre giorni, con picchi di 29,7 Tbps registrati da Cloudflare. Un dominio C2 ha superato persino Google nelle query globali.
Gli attacchi colpiscono USA, Cina, Francia, Germania e Canada, supportando 13 metodi DDoS su UDP, TCP e ICMP. Questo dimostra la scala globale e la potenza distruttiva.
Usi criminali dei device infetti
Oltre al proxying, i device servono per spam, frodi pubblicitarie, takeover di account e DDoS massivi. Il malware include reverse shell, gestione file e forwarding proxy, permettendo controllo persistente per scopi multipli.[7]
Legami con la botnet Aisuru
Kimwolf è la variante Android di Aisuru, un’altra botnet DDoS record. Stesse infrastrutture, codice riutilizzato e certificati confermano lo stesso gruppo criminale. Entrambe alimentano attacchi epocali, evolvendosi per sfuggire ai rilevamenti.[1][2]
Misure di protezione immediate
Per gli utenti: Controlla TV box e streaming device, resetta di fabbrica se sospetti, disabilita ADB e blocca porte rischiose. Evita store alternativi e app non verificate su device economici – considera la sostituzione.
Per provider proxy: Blocca porte rischiose, impone autenticazione e monitora anomalie. Organizzazioni: isola C2 noti e scruta traffico LAN.
Molti device arrivano pre-infetti da fabbrica con SDK proxy malevoli, trasformando la tua casa in un proxy criminale.
Approfondimento tecnico
Kimwolf è compilato con Android NDK per alte performance e evasion. Usa TLS per comandi DDoS, crittografia per C2 e DNS resolver. Implementa un C2 IPv6 estratto da transazioni blockchain nel campo “lol”, applicando XOR con chiave “0x93141715” per derivare IP reali – una tecnica EtherHiding su Ethereum Name Service per resilienza.
Naming: “niggabox v4/v5”. Listener su porta 40860, C2 su 85.234.91.247:1337. Analisi catturate mostrano 3,66 milioni IP cumulativi, picco 1,83 milioni daily il 4 dicembre 2025. Capacità DDoS vicino 30 Tbps, 13 metodi vari.
La botnet recupera takedown tunneando su pool IPIDEA da 100 milioni IP residenziali. Dimostra come proxy non sicuri scalino minacce IoT, con pattern destinato a diffondersi.
