圈小蛙
Kimwolf僵尸网络于8月份从创纪录的Aisuru DDoS僵尸网络分裂出来,并在2025年10月下旬短暂占据Cloudflare全球域名排名榜首,引起了安全研究人员的广泛关注。
据 Synthient 称,几周之内,它就像野火一样蔓延开来,最终控制了超过200万台非官方 Android TV 设备,因为其运营者找到了利用住宅代理网络进行本地控制的方法。
“从僵尸网络的角度来看,他们能够访问到其他人无法访问的未开发的僵尸网络群体,” Lumen Technologies 旗下 Black Lotus Labs 的高级首席信息安全工程师 Chris Formosa 告诉 CyberScoop。
一年多来,福尔摩沙一直在关注爱素鲁的崛起。他表示, 8 月份查获Rapper Bot并逮捕其所谓的领导人,为爱素鲁和 Kimwolf(由一些相同的网络犯罪分子运营)的全面发展铺平了道路。
在幕后,Lumen 与行业合作伙伴一起收集了足够的证据,证明 Kimwolf 的后端存在问题,从而迅速采取行动,通过空路由或丢弃源自僵尸网络命令和控制 (C2) 基础设施的数据包。
Black Lotus Labs 的信息安全工程师 Ryan English 表示,自 10 月初以来,Lumen 已经屏蔽了 550 多个与 Aisuru 和 Kimwolf 服务器关联的 C2 或 IP 地址。
Lumen 的举动激怒了 Kimwolf 的运营者,他们随即发起了一场 DDoS 攻击,并在攻击载荷中植入了一条针对全球网络运营商的侮辱性问候语。福尔摩沙指出,Kimwolf 的运营者经常会采取这种挑衅手段,这清楚地表明该组织是出于经济利益驱动,而非受到某个国家的支持。
福尔摩沙表示,Kimwolf 的 DDoS 攻击通常以一到两分钟的短时爆发形式进行,但有些攻击持续了数小时。
“主要原因似乎是《我的世界》是他们最喜欢的游戏之一。几乎每天都能看到《我的世界》服务器被炸毁,”他补充道。
XLab、Synthient 和Lumen联合发布的技术研究表明,该僵尸网络的运营者如何迅速搭建并废弃基础设施,或改变策略以逃避检测并保持运行。研究人员希望 Kimwolf 已经达到其最大潜力,但该僵尸网络的运营者仍有可能利用其他代理服务并控制更多类型的设备。
Kimwolf 目前尚未将目标对准关键基础设施,但如果被用于此目的,则可能造成严重破坏。与此同时,该僵尸网络控制的恶意流量也并非无害——DDoS 攻击会造成服务中断、数据拥塞,并影响无关的服务和运营,从而扩散到目标范围之外。
据 Cloudflare 称,9 月份,就在 Kimwolf 僵尸网络形成的同时,Aisuru 僵尸网络发动了一次破纪录的每秒29.7太比特的DDoS攻击,持续了69秒。
“这是那种你看到就随意放置的非常危险的东西,你不能放任不管,然后指望不会有人心怀不轨地捡起来使用,”英格利希说。
他补充说,DDoS攻击虽然不是最引人注目的网络犯罪形式,但它们仍然有效,而且规模正在呈指数级增长。“这就是网络安全防御的关键所在。你必须让他们知道有人会试图阻止他们。”
Google查封IPIDEA域名
IPIDEA是一家鲜为人知的中国公司,它运营着世界最大的住宅代理网络,任何时候都有上千万代理可供出租。住宅代理经常是在用户不知情下安装到设备上的,很多Android电视盒就被发现预装了住宅代理服务。
KrebsOnSecurity本月报道,物联网僵尸网络Kimwolf利用IPIDEA的漏洞快速扩散到了逾两百万设备上。本周Google宣布与合作伙伴一起采取行动,查封了IPIDEA的数十个域名,下架了数百个相关的Android应用。Google称它观察到大量黑客和间谍利用IPIDEA的住宅代理混淆流量隐藏其踪迹。
Google发现IPIDEA控制着十多个VPN品牌,包括360 Proxy、922 Proxy、ABC Proxy、Cherry Proxy、Door VPN、Galleon VPN、IP 2 World、Ipidea、Luna Proxy、PIA S5 Proxy、PY Proxy、Radish VPN和Tab Proxy等。