KadNapマルウェア

サイバーセキュリティ研究者らは、主にASUS製ルーターを標的とし、悪意のあるインターネットトラフィックをプロキシするボットネットに組み込む、KadNapと呼ばれる新たなマルウェアを発見した。2025年8月に初めて確認されたこのマルウェアは、すでに世界中で1万4000台以上のデバイスに感染している。分析によると、感染したシステムの60%以上が米国に集中しており、台湾、香港、ロシア、英国、オーストラリア、ブラジル、フランス、イタリア、スペインでも小規模な感染クラスターが検出されている。

主な標的はASUS製ルーターのようですが、調査の結果、KadNapの背後にいる攻撃者は、より広範なエッジネットワークデバイスを対象に活動を拡大していることが判明しました。この拡大は、ボットネットインフラの規模と耐性を最大化しようとする意図的な試みを示唆しています。

Kademliaテクノロジーによるピアツーピアの隠蔽

KadNap 攻撃の特徴は、Kademlia 分散ハッシュテーブル（DHT）プロトコルの改良実装に依存していることです。このプロトコルはピアツーピアアーキテクチャに統合されており、分散ノード内にコマンドシステムを隠蔽することでボットネットのインフラストラクチャの位置を隠蔽します。

侵害されたデバイスは、DHTネットワークを介して通信し、コマンド＆コントロール（C2）サーバーを検出して接続します。分散型環境に通信を分散させることで、マルウェアは単一のインフラストラクチャポイントへの依存を回避し、従来の検出および駆除作業を著しく困難にします。この手法は、悪意のあるトラフィックを正当なピアツーピアネットワーク活動に効果的に紛れ込ませるため、防御側にとって監視と妨害が格段に難しくなります。

感染メカニズムと持続戦略

感染チェーンは、IPアドレス212.104.141.140にホストされているコマンドサーバーからダウンロードされるaic.shというシェルスクリプトから始まります。このスクリプトは、侵害されたデバイスをボットネットのピアツーピアエコシステムに統合するプロセスを開始します。

このスクリプトは、毎時55分に同じスクリプトを取得するスケジュールされたcronジョブを作成することで、永続性を確立します。ダウンロードされるたびに、スクリプトは「.asusrouter」に名前が変更され、実行されます。永続性が確保されると、スクリプトは悪意のあるELFバイナリをダウンロードし、それをkadに名前変更して実行し、KadNapマルウェアのペイロードを効果的に展開します。このマルウェアは、ARMプロセッサとMIPSプロセッサの両方を使用するデバイスで動作するように設計されており、幅広いルーターアーキテクチャを侵害することができます。

時間ベースのピア発見とネットワーク調整

KadNapは、分散型ネットワーク全体でアクティビティを同期するメカニズムを組み込んでいます。このマルウェアは、ネットワークタイムプロトコル（NTP）サーバーに接続して現在のシステム時刻を取得し、感染したデバイスの稼働時間情報と組み合わせます。これらの値を使用してハッシュが生成され、感染したデバイスは分散型ネットワーク内のピアを特定することができます。

このプロセスにより、侵害されたシステムは、中央集権的なコマンド構造に依存せずに、他のノードを発見し、指示を取得し、追加の悪意のあるファイルをダウンロードすることが可能になります。fwr.shや/tmp/.soseなどのサポートスクリプトは、セキュアシェル（SSH）で使用される標準TCPポートであるポート22の無効化や、以降の通信に使用されるC2サーバーのアドレスとポートの組み合わせのリストの抽出など、追加のタスクも実行します。

プロキシサービスによるボットネットの商業化

ルーターが侵害されると、それらはdoppelganger.shopというウェブサイトを通じてDoppelgängerという名称で販売されている商用プロキシネットワークに組み込まれます。セキュリティ研究者らは、このサービスは以前TheMoonマルウェアに関連付けられていたプロキシプラットフォームであるFacelessのリブランド版であると評価しています。

このサービスが公開した宣伝資料によると、このネットワークは50カ国以上で住宅プロキシアクセスを提供しており、ユーザーの「100%の匿名性」を謳っています。証拠から、このプラットフォームは2025年5月か6月頃に立ち上げられたことが示唆されています。このインフラストラクチャは、感染したデバイスを種類とモデルごとにセグメント化します。これは、すべての感染デバイスがすべてのコマンドサーバーと通信するわけではないためです。このセグメント化は、構造化されたスケーラブルなボットネット管理戦略を示しています。

プロキシネットワークは既に複数の攻撃者によって悪用されていることが確認されている。しかし、ネットワークに関与するルーターが同時に複数のマルウェアに感染している場合があるため、特定の悪意のある活動の責任者を特定することは依然として困難である。

ルーター所有者のための防御策

KadNapの台頭は、家庭環境と小規模オフィス環境の両方において、セキュリティ対策が不十分なエッジデバイスがもたらすリスクの高まりを浮き彫りにしています。ネットワーク防御担当者と個々のユーザーは、以下のセキュリティ対策を採用することで、リスクを大幅に軽減できます。

• ルータとネットワーク デバイスを最新のファームウェアとセキュリティ アップデートで維持します。
• 該当する場合は、デバイスを定期的に再起動して、一時的な悪意のあるプロセスをクリアします。
• デフォルトの資格情報を強力で一意のパスワードに置き換えます。
• 管理インターフェースを制限し、保護します。
• 寿命が尽きてベンダーのセキュリティ更新を受けられなくなったルータは廃止して交換します。

ステルス性を重視した分散型ボットネット

KadNapは、分散型ピアツーピアアーキテクチャを採用することで、匿名プロキシサービスをサポートする多くの従来のボットネットとは一線を画しています。Kademlia DHTプロトコルを活用することで、容易に識別可能な中央サーバーに依存するのではなく、感染したデバイス全体に制御を分散させます。

このアーキテクチャは、検知、ブロック、または解体が著しく困難な、回復力の高い通信チャネルをオペレーターに提供します。戦略的目標は明確です。運用の継続性を維持し、セキュリティ監視を回避し、サイバーセキュリティチームの防御対応を複雑化することです。