Botnetul Kimwolf a infectat recent aproximativ 1,8 milioane de dispozitive Android, în special televizoare smart, set‑top box‑uri și tablete, și generează atacuri DDoS de amploare, evidențiind vulnerabilitățile securității cibernetice în ecosistemul IoT.

Ce este Kimwolf și cum a ajuns să infecteze milioane de dispozitive
Potrivit analizei QiAnXin XLab, botnetul Kimwolf folosește Android NDK, permițând rularea pe o gamă largă de dispozitive Android. Țintele principale sunt televizoarele inteligente și TV‑box‑urile cu firmware neactualizat.
Dispozitivele compromise includ modele gen TV BOX, SuperBOX, X96Q, MX10 și diverse smart‑TV, fără legătură cu un singur producător.
Principalele regiuni afectate sunt:

– Brazilia
– India
– Statele Unite
– Argentina
– Africa de Sud
– Filipine

Mecanismul de infectare se bazează probabil pe instalarea de aplicații modificate sau exploatarea vulnerabilităților firmware‑ului, iar fiecare dispozitiv infectat stabilește o conexiune criptată cu serverele de comandă și control ale botnetului Kimwolf.

Atacuri DDoS la scară fără precedent și legătura cu AISURU
În perioada 19‑22 noiembrie 2025, botnetul Kimwolf a emis aproximativ 1,7 miliarde de comenzi DDoS, iar unul dintre domeniile de comandă a ajuns temporar printre primele 100 de site‑uri monitorate de Cloudflare. Acest nivel de trafic subliniază impactul semnificativ al botnetului Kimwolf asupra stabilității internetului.
Investigațiile au identificat o legătură tehnică între Kimwolf și botnetul AISURU, prin reutilizarea de componente de cod și certificate de semnare identice. Ambele rețele pot coexista pe aceleași dispozitive, indicând un grup comun de atacatori.

Tehnici avansate de ascundere și monetizare a dispozitivelor compromise
Peste 96 % din comenzile botnetului Kimwolf nu sunt destinate atacurilor DDoS, ci vânzării lățimii de bandă a dispozitivelor compromise ca proxy anonim. Pentru a evita blocarea, operatorii Kimwolf au migrat la Ethereum Name Service, ascunzând adresele C&C în smart contracte blockchain – o metodă denumită EtherHiding.
Comunicarea este criptată prin TLS, iar botnetul suportă 13 tipuri de atacuri DDoS prin protocoale UDP, TCP și ICMP, vizând ținte din Statele Unite, China, Franța, Germania și Canada.

Botnetul Kimwolf confirmă evoluția amenințărilor cibernetice: televizoarele smart și TV‑box‑urile devin noul vector de atac în lipsa actualizărilor regulate. Monitorizarea continuă a vulnerabilităților și informarea utilizatorilor despre riscurile IoT rămân esențiale pentru menținerea securității cibernetice.