A Kimwolf nevű botnet több mint 2 millió Android-eszközt fertőzött meg, elsősorban lakossági proxyhálózatokon keresztül, állítja a kiberbiztonsági kutatásokkal foglalkozó Synthient. A Kimwolf legalább 2025 augusztusa óta aktív, és a közelmúltban az XLab is részletesen elemezte, külön kiemelve, hogy a hálózat képes lehet rendkívül nagy volumenű DDoS támadások indítására.
A botnet gerincét főként Android TV set-top boxok alkotják, amelyek tipikusan otthoni hálózatokon üzemelnek. Ezek az eszközök nemcsak DDoS-támadásokhoz használhatók fel, hanem az üzemeltetők számára további bevételszerzési lehetőségeket is kínálnak: például alkalmazástelepítések kényszerítését, valamint proxy sávszélesség értékesítését. A Synthient szerint a Kimwolf tényleges mérete feltehetően jóval nagyobb, mint amit korábban becsültek: megfigyeléseik alapján hetente körülbelül 12 millió egyedi IP-cím kapcsolódik valamilyen formában a botnethez.
A Synthient becslése szerint a Kimwolf kicsivel több mint 2 millió eszközt fertőzött meg, elsősorban egy olyan támadási vektoron keresztül, amely az Android Debug Bridge (ADB) szolgáltatás kihasználására épül. A fertőzött eszközök nagy része Vietnámban, Brazíliában, Indiában és Szaúd-Arábiában található. Az elmúlt két hónapban a botnet különösen gyors növekedést mutatott egy új, lakossági proxyhálózatokat célzó technika miatt. Számos fertőzés olyan proxy IP-címekhez köthető, amelyeket a kínai székhelyű IPIDEA, a világ egyik legnagyobb lakossági proxy szolgáltatója adott bérbe.
Ahogyan azt Brian Krebs oknyomozó újságíró is kiemeli, a Kimwolf különösen az olcsó, nem hivatalos Android TV boxokat célozza, amelyek gyakran biztonságilag gyenge komponenseket tartalmaznak, és sok esetben a felhasználókat olyan szoftverek telepítésére ösztönzik (vagy kényszerítik), amelyek az eszközt végül proxy csomóponttá alakítják. A Synthient vizsgálata során kiderült, hogy az újonnan „behálózott” eszközök jelentős része eleve előre fertőzötten került értékesítésre. Ezeken a készülékeken az IPIDEA hivatalos binárisai helyett módosított változatok futottak, amelyek az eszközöket Kimwolf-bottá alakították.
A jelentések szerint 2025 december végén az IPIDEA javítást adott ki, amely az alapvető problémát orvosolta és több, nyilvánosan elérhető porthoz való hozzáférést blokkolt.
A Synthient beszámolója alapján december 17-én összesen 11 sebezhetőségről figyelmeztető e-mailt küldtek ki a legnagyobb proxy-szolgáltatóknak. A kutatók ugyanakkor hangsúlyozzák: nem tudják teljes bizonyossággal azonosítani az összes szolgáltatót, amelyet a Kimwolf célba vett, ám a jelenlegi bizonyítékok alapján az IPIDEA volt a fő célpont, különösen azért, mert a konfigurációja minden port elérését lehetővé tette.
A fertőzött eszközöket nemcsak DDoS-támadásokhoz használják, (amelyek volumene a becslések szerint akár 30 Tbps körüli is lehet, és amelyeket korábban tévesen az Aisuru botnethez kötöttek) hanem a Kimwolf üzemeltetői proxyszolgáltatásként is értékesítik a botnetet, akár 0,20 cent/Gb áron.