Kimwolfボットネット
サイバーセキュリティの専門家は、Kimwolfとして知られる大規模な分散型サービス拒否(DDoS)ボットネットを発見しました。このボットネットは既に180万台以上のデバイスを感染させています。感染デバイスには、Androidベースのテレビ、セットトップボックス、タブレットなどが含まれます。初期調査では、悪名高いAISURUボットネットとの関連性が示唆されています。この発見は、IoTを標的とするマルウェアの高度化が進んでいることを浮き彫りにし、接続デバイスの保護における警戒の重要性を改めて強調しています。
目次
キムウルフの解剖学
Kimwolfはネイティブ開発キット(NDK)を使用して構築されており、従来のDDoS攻撃を超えた複数の機能を備えています。主な機能は以下のとおりです。
- プロキシ転送
- リバースシェルアクセス
- ファイル管理機能
ボットネットのマルウェアは、デバイスごとに 1 つのプロセスを実行し、埋め込まれたコマンド アンド コントロール (C2) ドメインを復号化し、DNS-over-TLS を使用して C2 IP を解決し、オペレーターから受信したコマンドを実行するように設計されています。
記録破りの規模と活動
2025年11月19日から22日までのわずか3日間で、Kimwolfは17億件のDDoS攻撃コマンドを発行したと報告されています。そのC2ドメインの一つである14emeliaterracewestroxburyma02132[.]suは、Cloudflareの上位100ドメインに一時的にランクインし、一時的にGoogleを上回りました。
主な感染対象には、次のような家庭用テレビ ボックスが含まれます。
- TV BOX、スーパーBOX、HiDPTAndroid
- P200、X96Q、XBOX、スマートTV、MX10
地理的に見ると、感染はブラジル、インド、米国、アルゼンチン、南アフリカ、フィリピンに集中しているが、正確な伝播方法は不明である。
進化と回復力
Kimwolfは高度な適応力を発揮しています。2025年12月にはC2ドメインが少なくとも3回ダウンしており、運営者はインフラ強化のためEthereum Name Service(ENS)ドメインを採用しました。最新バージョンのマルウェアにはEtherHidingが組み込まれています。これは、スマートコントラクトを介して実際のC2 IPアドレスを取得し、XOR演算によって変換する手法で、これによりダウンの難易度がはるかに高くなっています。
AISURUと共有インフラストラクチャへの接続
記録破りのDDoS攻撃で知られるAISURUボットネットとKimwolfを結びつける証拠:
- 両方のボットネットは、2025 年 9 月から 11 月まで、同じ感染デバイス上で共存していました。
- APK パッケージとコード署名証明書 (「John Dinglebert Dinglenut VIII VanSack Smith」) の類似性は、開発元が共通していることを示唆しています。
- ダウンローダー サーバー (93.95.112[.]59) は、Kimwolf と AISURU APK の両方を参照するスクリプトの存在を確認しました。
この関係は、到達範囲を最大化し検出を回避するために、単一のハッカー グループが両方のボットネットを操作している可能性があることを示唆しています。
攻撃能力と収益化
Kimwolfは、UDP、TCP、ICMPを介した13種類のDDoS攻撃手法をサポートしており、米国、中国、フランス、ドイツ、カナダなどの国を標的としています。興味深いことに、発行されたコマンドの96%以上が、感染ノードをプロキシサービスとして利用することを目的としており、強い営利目的があることが示唆されています。
侵害されたデバイスに展開される追加コンポーネントには次のものがあります。
- Rustベースのコマンドクライアント – プロキシネットワークを構築
- ByteConnect SDK – 開発者とデバイス所有者のIoTトラフィックを収益化
- TLS 暗号化によりすべての通信が保護されるとともに、C2 サーバーおよび DNS リゾルバに関する機密データも暗号化され、運用のステルス性が向上します。
巨大ボットネットのより広い文脈
2016年にMiraiが出現して以来、巨大IoTボットネットは大きく進化しました。初期のバージョンは主にブロードバンドルーターやカメラを標的としていましたが、Badbox、Bigpanzi、Vo1d、Kimwolfなどの最近のボットネットは、スマートテレビやTVボックスを標的とする傾向が強まっており、攻撃者の関心が高帯域幅の消費者向けデバイスへと移行していることを反映しています。
