- 180万台の感染デバイスを抱えるAndroidボットネットKimwolfは、耐性強化のためにENSを利用しながら急速に進化している
- そのコードとインフラはAISURUと重複しており、両者が同一の脅威グループに属することを示している
- AISURUは依然として最も破壊的なボットネットの一つで、最近のDDoS攻撃では最大29.7Tbpsに達した
サイバーセキュリティ研究者は、約200万台のデバイスから成る大規模な悪性ボットネットを確認した。これは、分散型サービス妨害(DDoS)攻撃「だけ」ではない能力を持つと報告されている。
QiAnXin XLabは、主にテレビ、セットトップボックス、タブレットを標的とするAndroidベースのボットネット「Kimwolf」に関する新たなレポートを公開した。現時点で約180万台のデバイスに感染しており、主にブラジル、インド、米国、アルゼンチン、南アフリカ、フィリピンに集中している。
デバイスがどのように感染するのかは依然として不明だが、XLabは被害者の大半が家庭用ネットワーク環境にあり、次のブランドに属していることを突き止めた:TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV、MX10。
AISURUの配下?
研究者らは以前からKimwolfを追跡しており、このボットネットがすでに複数回テイクダウンされたものの、常により強力になって戻ってきたことを確認した。
「KimwolfのC2ドメインは、少なくとも3回(12月に)正体不明の関係者によってテイクダウンに成功しているのを観測した。これにより、同ボットネットは戦術のアップグレードを余儀なくされ、インフラを強化するためにENS(Ethereum Name Service)の利用へと転じた。これは強力な進化能力を示している」とXLabの研究者は述べた。
また、ボットネットのソースコードとC2インフラが、現在存在する中でも最も破壊的なボットネットの一つであるAISURUのものと大きく重複しているとも述べた。
研究者らは「この2つの主要ボットネットは9月から11月にかけて同じ感染スクリプトで拡散し、同一のデバイス群の中で共存していた」と説明し、「実際には同じハッカーグループに属している」とした。
AISURUは、さまざまなDDoS記録を塗り替えたとして最近何度も見出しを飾っているボットネットだ。
今月初め、Cloudflareは2025年第3四半期のDDoS脅威レポートを公開し、「ボットネットの頂点」による攻撃の詳細を明らかにした。レポートの中でCDN大手は、AISURUの感染デバイス数は100万〜400万台に及ぶとしており、最大29.7テラビット/秒(Tbps)および141億パケット/秒(Bpps)に達するDDoS攻撃を実行したと述べている。
Cloudflareはこれを「平均して毎秒1万5,000の宛先ポートを叩くUDPカーペット爆撃攻撃」と表現した。
