Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Chiến dịch Kimwolf: Botnet Android Siêu Lớn Lạm Dụng Residential Proxy Networks

Updated
5 min read
Chiến dịch Kimwolf: Botnet Android Siêu Lớn Lạm Dụng Residential Proxy Networks
N
Nguyễn Văn Trung

Gần đây phía FPT Threat Intelligence phát hiện một chiến dịch mạng botnet Kimwolf quy mô lớn nhất trong nửa cuối năm 2025 kéo dài sang 2026, lợi dụng các lỗ hổng hệ thống bảo mật trong mạng residential proxy và các thiết bị Android để xây dựng một mạng botnet hàng triệu thiết bị phục vụ cho nhiều hoạt động tấn công và kiếm tiền bất hợp pháp.

Tổng quan

  • Tên chiến dịch: Kimwolf Android Botnet

  • Mục tiêu chính: Android TV Box, TV thông minh, set-top box, và các thiết bị Android có dịch vụ mở (ADB)

  • Kích thước ước tính: ~2 triệu thiết bị Android bị lây nhiễm

  • Thời điểm hoạt động: Ít nhất từ tháng 8/2025 đến nay

  • Quốc gia chịu ảnh hưởng nặng: Việt Nam, Brazil, Ấn Độ, Saudi Arabia…

Kimwolf là một biến thể Android của botnet AISURU, được thiết kế để khai thác rộng rãi các mạng proxy residential, biến các thiết bị gia đình trở thành phần của hạ tầng tấn công toàn cầu.

Cách thức lây nhiễm và triển khai

Khác với botnet truyền thống chỉ quét internet công cộng, Kimwolf tận dụng mạng residential proxy – tức các IP của mạng gia đình/tổ chức được bán dịch vụ proxy – để che giấu hành vi quét và lây nhiễm tới thiết bị nội bộ.

Điểm quan trọng là:

  • Proxy này cho phép truy cập tới địa chỉ nội bộ (RFC-1918), dẫn tới việc các thiết bị trong mạng bị đánh như thể đang ở trong cùng mạng nội bộ.

  • Hành vi này giúp bypass tường lửa truyền thống và hệ thống phát hiện tấn công dựa trên IP nguồn.

Nhiều Android TV Box được bật chế độ ADB mở (ADB over TCP) không bảo mật – thường lắng nghe trên cổng 5555 hoặc tương tự.

Kimwolf dùng quét quy mô lớn thông qua các residential proxy để tìm các thiết bị có ADB mở – nhờ đó có thể đăng nhập không cần xác thực và cài đặt payload từ xa.

Mô tả kỹ thuật malware

Sau khi xâm nhập thành công, Kimwolf thực hiện một chuỗi hành vi kỹ thuật phức tạp như sau:

Downloader và Payload Deployment

  • Malware không chỉ là một file duy nhất; botnet sử dụng một downloader script tự động tải về và cài đặt payload chính lên thiết bị mục tiêu.

  • Payload có cả các thành phần native binary (NDK) lẫn APK Android cho proxy và SDK monetization.

Persistence và Listener

  • Một listener local được thiết lập (ví dụ port 40860) để duy trì kết nối và nhận lệnh từ C2.

Giao tiếp C2 (Command & Control)

Kimwolf sử dụng nhiều kỹ thuật nâng cao để duy trì liên lạc và chống gián đoạn:

  • Giao tiếp đến server C2 được mã hoá và kết nối qua TLS.

  • Sử dụng DNS-over-TLS và ENS (Ethereum Name Service) để lấy IP C2 real-time – hạn chế bị chặn hoặc tấn công hạ tầng DNS.

Điều này giúp botnet vượt qua các biện pháp chặn theo domain hoặc IP truyền thống.

Tính năng chức năng của Kimwolf

Kimwolf có rất nhiều module, khiến nó không chỉ là botnet DDoS thông thường:

Chức năngMô tả
DDoSHỗ trợ nhiều phương pháp tấn công TCP/UDP/ICMP – hơn 13 kiểu khác nhau.
Proxy ForwardingBiến thiết bị thành node proxy, bán lại băng thông.
Reverse Shell & File ManagementCho phép điều khiển thiết bị từ xa, tải/xóa file.
SDK Monetization (Byteconnect, Plainproxies)Cài SDK phụ để thu tiền từ traffic và credential stuffing.

Đặc điểm nổi bật & điểm nhấn kỹ thuật

Thuật toán ẩn C2 bằng blockchain (ENS), Kimwolf sử dụng kỹ thuật gọi là EtherHiding:

  • C2 domains được lưu trữ trên blockchain qua ENS (Ethereum Name Service)

  • Thi malware trích xuất IP thực bằng các thao tác mã hoá/xor để chống phát hiện.
    → Điều này cực kỳ khó bị chặn hoặc takedown bằng các cách thông thường.

Ảnh hưởng & Mối đe dọa

Chiến dịch này đã:
- Lây nhiễm >2 triệu thiết bị Android toàn cầu.
- Thúc đẩy lượng traffic DDoS tiềm năng lên ~30+ Tbps – gần kỷ lục thế giới.
- Bán băng thông của botnet dưới dạng residential proxies cực rẻ và lạm dụng để kiếm tiền.

Đại đa số các thiết bị bị ảnh hưởng đều là thiết bị Android giá rẻ, firmware yếu, ADB enabled và thiếu cập nhật bảo mật.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị một số biện pháp bảo vệ các thiết bị IOT trong tổ chức nói chung và các cá nhân nói riêng như sau:

Ngăn chặn xâm nhập

  • Tắt ADB qua TCP/IP trên tất cả thiết bị Android trừ khi thực sự cần thiết.

  • Chặn traffic từ các residential proxy sources không đáng tin.

Giám sát & phát hiện

  • Dùng EDR/NDR để phát hiện liên lạc bất thường tới C2 domains hoặc TLS traffic không chuẩn.

  • Kiểm tra thiết bị trong mạng nội bộ có listener port bất thường (ví dụ port 40860).

Cập nhật & kiểm tra firmware

  • Với Android TV Box và IoT, cập nhật firmware / thay thế thiết bị không còn hỗ trợ bảo mật.

Phân tích log/dữ liệu

  • Giám sát kết nối proxy bất thường, bất kỳ kết nối không xác thực tới ADB hoặc DNS-over-TLS.

Tham khảo

Malware & ThreatsKimwolf Android Botnet Grows Through Residential Proxy Networks

Kimwolf Botnet Hijacks 1.8 Million Android TVs, Launches Large-Scale DDoS Attacks

Kimwolf Android Botnet: Massive Infection of Smart TVs, IoT Devices, and TV Boxes via Exposed ADB and Residential Proxy Networks

#threat-intelligence#ddos#iot

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.