Um novo botnet de ataque distribuído de negação de serviço (DDoS) chamado Kimwolf foi identificado, reunindo um exército de impressionantes 1,8 milhão de dispositivos infectados, entre TVs Android, set-top boxes e tablets.
Pesquisas do QiAnXin XLab indicam que o Kimwolf pode estar relacionado a outro botnet conhecido, o AISURU.
Segundo o relatório da empresa, “Kimwolf é um botnet compilado com o NDK (Native Development Kit).
Além das funcionalidades típicas para ataques DDoS, ele integra recursos de proxy forwarding, reverse shell e gerenciamento de arquivos.” Em apenas três dias, entre 19 e 22 de novembro de 2025, essa megaestrutura teria emitido cerca de 1,7 bilhão de comandos para ataques DDoS.
Na mesma época, um dos domínios de comando e controle (C2) do Kimwolf — 14emeliaterracewestroxburyma02132[.]su — ficou em primeiro lugar na lista dos 100 domínios mais acessados da Cloudflare, superando o Google por um breve período.
Os dispositivos mais visados pelo Kimwolf são TV boxes usados em redes residenciais.
Entre os modelos afetados estão TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV e MX10.
As infecções estão distribuídas globalmente, com maior concentração em países como Brasil, Índia, Estados Unidos, Argentina, África do Sul e Filipinas.
No entanto, o método exato de propagação do malware ainda não está claro.
A investigação do XLab começou em 24 de outubro de 2025, após o recebimento de uma amostra da “versão 4” do Kimwolf enviada por um parceiro confiável.
Desde então, foram encontradas outras oito amostras ao longo do último mês.
A empresa observou que os domínios C2 do botnet foram derrubados por terceiros desconhecidos ao menos três vezes em dezembro, o que levou os operadores a aprimorar as táticas e a recorrer ao ENS (Ethereum Name Service) para fortalecer a infraestrutura, demonstrando a grande capacidade evolutiva do botnet.
Outro avanço importante ocorreu no início deste mês, quando o XLab conseguiu assumir o controle de um dos domínios C2, o que permitiu mensurar a real dimensão do botnet.
Uma característica notável do Kimwolf é sua ligação com o AISURU, botnet envolvido em alguns dos recordes de ataques DDoS do último ano.
Os pesquisadores suspeitam que os invasores reutilizaram código do AISURU nas fases iniciais antes de desenvolverem o Kimwolf, provavelmente para evitar detecções.
Há indicativos de que não foi apenas o AISURU que realizou esses ataques, mas que o Kimwolf pode estar atuando de forma colaborativa, ou até liderando essas operações.
Ambos os botnets se propagaram usando os mesmos scripts de infecção entre setembro e novembro, coexistindo nos mesmos dispositivos, e aparentemente pertencem ao mesmo grupo cibercriminoso.
Essa conclusão foi embasada por semelhanças nos pacotes APK enviados para a plataforma VirusTotal, além do uso do mesmo certificado de assinatura de código ("John Dinglebert Dinglenut VIII VanSack Smith").
A comprovação definitiva veio em 8 de dezembro de 2025, quando foi encontrado um servidor downloader ativo ("93.95.112[.]59") contendo scripts que referenciavam APKs tanto do Kimwolf quanto do AISURU.
O funcionamento do malware é direto: ao ser executado, garante que apenas uma instância do processo rode no dispositivo infectado, descriptografa o domínio C2 embutido, utiliza DNS-over-TLS para resolver o IP do C2 e conecta-se para receber e executar comandos.
As versões mais recentes do Kimwolf, identificadas até 12 de dezembro de 2025, empregam uma técnica chamada EtherHiding.
Essa estratégia usa um domínio ENS ("pawsatyou[.]eth") para recuperar o IP real do C2 diretamente do smart contract associado (0xde569B825877c47fE637913eCE5216C644dE081F), tornando a infraestrutura mais resistente a derrubadas.
O processo envolve extrair um endereço IPv6 do campo "lol" da transação e, em seguida, aplicar uma operação XOR com a chave "0x93141715" nos últimos quatro bytes para obter o IP correto.
Além de criptografar dados sensíveis relacionados aos servidores C2 e resolvers DNS, o Kimwolf usa conexões TLS para o tráfego de comandos DDoS.
Ao todo, ele suporta 13 métodos de ataque DDoS sobre os protocolos UDP, TCP e ICMP.
Os alvos das operações, segundo análise do XLab, estão localizados principalmente nos Estados Unidos, China, França, Alemanha e Canadá.
A análise também indicou que mais de 96% dos comandos têm como objetivo usar os bots para serviços de proxy, evidenciando a intenção dos criminosos de explorar a largura de banda dos dispositivos comprometidos para maximizar ganhos financeiros.
Para isso, é implantado um módulo Command Client escrito em Rust, que cria uma rede de proxies.
Além disso, é distribuído um SDK chamado ByteConnect, que oferece uma solução de monetização para desenvolvedores de aplicativos e proprietários de dispositivos IoT, permitindo ganhos financeiros a partir do tráfego gerado.
O XLab destaca que “os grandes botnets têm origem no Mirai, de 2016, que focava em dispositivos IoT como roteadores domésticos e câmeras de segurança.
Porém, nos últimos anos surgiram botnets com vários milhões de bots, como Badbox, Bigpanzi, Vo1d e Kimwolf, indicando que os criminosos começaram a mirar em smart TVs e TV boxes.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...