据调查一款名为Kimwolf的新分布式拒绝服务(DDoS)僵尸网络,已受控不少于180万台受感染终端设备,涵盖安卓智能电视、网络机顶盒及平板电脑等,且该僵尸网络疑似与(AISURU)僵尸网络存在关联关系。
该机构在当日发布的分析报告中指出:“Kimwolf僵尸网络基于原生开发套件(NDK)编译构建。除具备典型的DDoS攻击能力外,还集成了代理转发、反向外壳(Reverse Shell)及文件管控等核心功能模块。”
据测算,该超大规模僵尸网络在2025年11月19日至22日的三日周期内,累计下发DDoS攻击指令达17亿条。同期,其下属的一个命令与控制(C2)域名——14emeliaterracewestroxburyma02132[.]su,成功登顶Cloudflare全球百大热门域名榜单,甚至一度越谷歌(Google)域名的访问热度。
Kimwolf僵尸网络的主要感染目标为部署于家庭局域网环境中的网络机顶盒,受影响设备型号包括TV BOX、超级盒子(SuperBOX)、HiDPTAndroid、P200、X96Q、智能电视(SmartTV)及MX10等。恶意程序感染范围覆盖全球,其中巴西、印度、美国、阿根廷、南非及菲律宾为感染高浓度区域。截至目前,该恶意软件(Malware)向目标设备的具体传播路径仍未明确。
(XLab)表示,针对该僵尸网络的溯源分析工作始于2025年10月24日——当日该机构从可信社区合作伙伴处获取Kimwolf僵尸网络的“4.0版本”恶意样本。此后,研究人员于上月新增捕获8个该僵尸网络的变种样本。
研究人员指出:“我们监测到,Kimwolf僵尸网络的命令与控制(C2)域名在12月已被不明主体成功关闭(Takedown)至少三次。该处置行动迫使攻击者升级对抗战术,转而采用以太坊域名服务(ENS)对其基础设施进行加固,充分体现出该僵尸网络具备强大的迭代进化能力。”
值得注意的是,本月初,(XLab)成功夺取其中一个命令与控制(C2)域名的控制权,从而得以对该僵尸网络的规模进行精准测绘。
Kimwolf僵尸网络的核心关联特征在于其与臭名昭著的(AISURU)僵尸网络存在技术溯源关联——后者在过去一年间,曾主导发起多起创纪录规模的DDoS攻击事件。研究人员推测,攻击者在Kimwolf僵尸网络开发初期,复用了(AISURU)的部分核心代码,后续为规避安全检测体系,才独立研发形成Kimwolf这一全新僵尸网络变种。
(XLab)表示,此类攻击事件的发起主体或并非仅有(AISURU)僵尸网络,Kimwolf僵尸网络大概率参与其中,甚至可能在部分攻击行动中承担主导角色。
该机构指出:“2025年9月至11月期间,上述两大僵尸网络通过相同的恶意感染脚本进行传播,且实现了在同一批次设备中的共存部署。事实上,二者归属同一黑客组织操控。”
该结论的核心依据包括:两款僵尸网络在 VirusTotal 平台提交的安卓安装包(APK)存在多重特征重合,部分样本甚至采用相同的代码签名证书——证书持有者信息为“John Dinglebert Dinglenut VIII VanSack Smith”。2025年12月8日,研究人员发现一台处于活跃状态的恶意下载器服务器(IP地址:93.95.112[.]59),其内置脚本同时关联Kimwolf与(AISURU)的恶意安装包(APK),该发现为上述结论提供了确凿的技术佐证。
该恶意软件(Malware)的工作机制相对简单:一旦启动,它会确保受感染设备上只有一个进程实例运行,然后解密嵌入的 C2 域名,使用 DNS over TLS 获取 C2 IP 地址,并连接到该地址以接收和执行命令。
在2025年12月12日最新捕获的该僵尸网络变种样本中,攻击者引入了名为EtherHiding的隐蔽通信技术。该技术借助以太坊域名服务(ENS)域名(pawsatyou[.]eth),从对应的智能合约(合约地址:0xde569B825877c47fE637913eCE5216C644dE081F)中提取真实的命令与控制(C2)服务器IP地址,以此提升其基础设施对抗处置行动的韧性。
具体技术实现流程为:从区块链交易记录的“lol”字段中提取IPv6地址,截取该地址的最后四个字节,再与密钥“0x93141715”执行异或运算(XOR Operation),最终生成命令与控制(C2)服务器的真实IP地址。
除对命令与控制(C2)服务器及域名解析器相关敏感数据进行加密外,Kimwolf僵尸网络还采用传输层安全协议(TLS)对网络通信链路进行加密处理,用于传输DDoS攻击指令。该恶意软件共支持13种基于用户数据报协议(UDP)、传输控制协议(TCP)及互联网控制报文协议(ICMP)的DDoS攻击技术手段。据(XLab)统计,其攻击目标主要分布于美国、中国、法国、德国及加拿大等国家。
深度分析显示,该僵尸网络接收的指令中,超96%涉及利用受感染节点提供代理服务。该数据表明,攻击者正通过劫持设备的带宽资源开展牟利活动,以实现收益最大化。为达成此目的,攻击者部署了基于Rust语言开发的命令客户端模块,用于构建分布式代理网络。
此外,攻击者还向受感染节点下发字节连接(ByteConnect)软件开发工具包(SDK)——该工具为一款流量 monetization 解决方案,可支持应用开发者及物联网(IoT)设备所有者实现流量资源的商业化变现。
(XLab)表示:“巨型僵尸网络的规模化攻击始于2016年的(Mirai)僵尸网络,其感染目标主要集中于家用宽带路由器、网络摄像头等物联网(IoT)设备。然而近年来,Badbox、Bigpanzi、Vo1d及Kimwolf等多款百万级巨型僵尸网络相继被曝光,这一趋势表明,部分攻击者已将攻击目标转向各类智能电视及网络机顶盒设备。”这一趋势与和中科技的的判断高度一致!为了应对此类安全事件的发生,和中科技对神雕EDR进行了升级,和中神雕EDR产品依托先进的行为分析与多维度检测技术,该产品融合AI智能引擎、行为引擎与云查引擎等多重能力,能够精准识别Kimwolf这类未知恶意软件的异常行为——无论是其进程互斥机制、加密通信链路特征,还是通过异或运算生成真实IP的技术操作,都能被神雕EDR实时捕捉并告警,实现对已知及未知威胁的全面覆盖。
 深度解析:一次sigar-amd64-winnt.dll引发的内存访问崩溃)
)
)