Một mối đe dọa mạng mới và nguy hiểm có tên Kimwolf botnet đã lây nhiễm âm thầm hơn 2 triệu thiết bị trên toàn cầu. Các thiết bị này bị buộc hoạt động như các máy chủ proxy bất hợp pháp mà chủ sở hữu không hề hay biết.
Mạng botnet này đã phát triển với tốc độ đáng báo động và hiện đang được sử dụng để thực hiện gian lận trực tuyến, phát động các cuộc tấn công mạng mạnh mẽ và đánh cắp thông tin từ hàng triệu người dùng.
Bối cảnh Khám phá và Nghiên cứu Kỹ thuật
Các nhà nghiên cứu bảo mật đã phát hiện xu hướng đáng báo động này vào cuối năm 2025. Nghiên cứu đã tiết lộ một phương pháp tấn công tinh vi khai thác lỗ hổng trong cách các mạng proxy dân cư phổ biến bảo vệ hệ thống của họ.
Nhiễm trùng chủ yếu nhắm mục tiêu vào các thiết bị Android TV Box giá rẻ và khung ảnh kỹ thuật số được bán trực tuyến. Nhiều thiết bị trong số này xuất xưởng từ nhà máy với các cài đặt bảo mật nguy hiểm đã được bật sẵn.
Benjamin Brundage, một nhà nghiên cứu an ninh mạng 22 tuổi và là người sáng lập Synthient, đã bắt đầu điều tra Kimwolf botnet vào tháng 10 năm 2025. Nghiên cứu của ông đã phát hiện ra một mô hình đáng lo ngại: mã độc đang lây lan qua một điểm yếu trong cách các dịch vụ proxy dân cư lớn nhất thế giới hoạt động.
Brundage phát hiện ra rằng những kẻ tấn công có thể vượt qua các quy tắc an toàn bằng cách thay đổi cài đặt DNS. Điều này cho phép chúng truy cập các mạng gia đình riêng thông qua các thiết bị proxy bị nhiễm mã độc.
Ông cũng phát hiện mạng proxy lớn nhất, IPIDEA, đã để lộ một lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này cho phép tội phạm “tunnel” vào mạng gia đình của người dùng và cài đặt mã độc vào các thiết bị được kết nối mà không cần bất kỳ rào cản xác thực nào.
Brian Krebs, nhà phân tích và nghiên cứu của KrebsOnSecurity, đã ghi nhận những phát hiện quan trọng của Brundage sau khi nhà nghiên cứu cảnh báo nhiều nhà cung cấp proxy về lỗ hổng này.
Bài viết của Krebs đã nhấn mạnh hai khía cạnh của rủi ro bảo mật: thứ nhất, nhiều TV box không chính thức được cài sẵn mã độc từ nhà máy; thứ hai, các thiết bị này có một tính năng mạnh mẽ là Android Debug Bridge (ADB) vẫn được bật, cho phép bất kỳ ai trên cùng một mạng kiểm soát hoàn toàn chúng bằng một lệnh đơn giản.
Cơ chế Tấn công và Lây nhiễm của Kimwolf Botnet
Kimwolf botnet lây lan thông qua sự kết hợp giữa bảo mật yếu kém trong các thiết bị streaming giá rẻ và các mạng proxy dễ bị tổn thương. Quy trình tấn công diễn ra theo các bước cụ thể:
Khai thác Android Debug Bridge (ADB)
Kẻ tấn công xác định các điểm cuối proxy bị nhiễm mã độc bằng cách quét các thiết bị có chế độ Android Debug Bridge (ADB) được kích hoạt. ADB là một công cụ dòng lệnh đa năng cho phép giao tiếp với thiết bị Android. Khi được bật và tiếp xúc với mạng, nó trở thành một vector tấn công nghiêm trọng.
Sau khi xác định được thiết bị mục tiêu, kẻ tấn công sử dụng một kỹ thuật đơn giản để giành quyền truy cập siêu người dùng. Lệnh được sử dụng là:
adb connect [device-ip]:5555Lệnh này thiết lập kết nối với cổng ADB mặc định (5555) trên thiết bị Android. Điều này cho phép kẻ tấn công thực thi các lệnh từ xa và giành quyền kiểm soát hoàn toàn thiết bị. Đây là một điểm yếu nghiêm trọng khi các thiết bị được phân phối với ADB kích hoạt theo mặc định và không có biện pháp bảo vệ thích hợp.
Triển khai Mã độc và Payload
Sau khi giành quyền truy cập thông qua ADB, những kẻ tấn công sẽ triển khai payload mã độc. Chúng chỉ đạo các hệ thống truy cập một địa chỉ web cụ thể. Một cụm mật khẩu đặc biệt, “krebsfiveheadindustries“, được yêu cầu để mở khóa quá trình tải xuống mã độc.
Mặc dù chi tiết cụ thể về payload chưa được công bố rộng rãi, cơ chế này cho phép botnet cài đặt các thành phần cần thiết để biến thiết bị thành một proxy bất hợp pháp hoặc một thành phần trong mạng botnet lớn hơn. Đây là giai đoạn quan trọng để thiết lập quyền kiểm soát lâu dài trên hệ thống bị xâm nhập.
Phạm vi và Tác động của Kimwolf Botnet
Dữ liệu từ Synthient cho thấy khoảng hai phần ba số thiết bị bị nhiễm là Android TV box. Số còn lại là khung ảnh kỹ thuật số và điện thoại di động chạy các ứng dụng proxy ẩn.
Mã độc này buộc các thiết bị phải chuyển tiếp tin nhắn rác (spam), thực hiện gian lận quảng cáo (advertising fraud), cố gắng chiếm đoạt tài khoản (account takeovers) và tham gia vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Các cuộc tấn công DDoS này có khả năng làm ngừng hoạt động các trang web lớn trong thời gian dài.
Mục đích Khai thác và Kiếm tiền
Các nhà điều hành Kimwolf botnet kiếm tiền từ mạng botnet của họ thông qua nhiều kênh. Điều này bao gồm việc bán dịch vụ cài đặt ứng dụng, cho thuê băng thông proxy và cung cấp khả năng tấn công DDoS cho các nhóm tội phạm khác.
Mô hình kinh doanh này tạo ra một vòng lặp độc hại. Càng nhiều thiết bị bị nhiễm, khả năng và lợi nhuận của botnet càng lớn. Điều này thúc đẩy các cuộc tấn công mạng tiếp tục nhắm vào các thiết bị dễ bị tổn thương.
Khả năng Phục hồi và Phát triển của Kimwolf Botnet
Việc phát hiện ra các phương pháp duy trì của Kimwolf botnet đã hé lộ cách mạng botnet này tự tái thiết sau các sự gián đoạn. Brundage đã quan sát thấy mạng này phục hồi sau một nỗ lực gỡ bỏ (takedown).
Nó đã phục hồi từ gần zero hệ thống bị nhiễm lên 2 triệu thiết bị bị xâm nhập chỉ trong vài ngày. Điều này đạt được bằng cách “tunneling” qua nguồn cung cấp điểm cuối proxy mới của IPIDEA.
Khả năng phục hồi nhanh chóng này xuất phát từ kho địa chỉ proxy dân cư khổng lồ của IPIDEA, với hơn 100 triệu địa chỉ có sẵn. Sự sẵn có của một nguồn tài nguyên lớn như vậy cho phép những kẻ tấn công nhanh chóng tái xây dựng cơ sở hạ tầng botnet của chúng, khiến các nỗ lực takedown trở nên khó khăn và kém hiệu quả.
Các nhà nghiên cứu bảo mật dự đoán rằng mô hình tấn công này sẽ tiếp tục lan rộng. Ngày càng nhiều nhóm tội phạm phát hiện ra những điểm yếu này, biến các mạng proxy dân cư thành mục tiêu chính cho việc xâm nhập thiết bị quy mô lớn và các nỗ lực vi phạm mạng.
