当サイトの2026年最初の記事では、Kimwolfと呼ばれる破壊的な新しいボットネットが、膨大な数の非公式Android TVストリーミングボックスを一斉に侵害することで、200万台を超えるデバイスに感染した経緯を明らかにしました。今回は、Kimwolfの拡散によって利益を得たとみられるハッカー、ネットワーク運用者、そしてサービスに関するデジタル上の手がかりを掘り下げます。
2025年12月17日、中国のセキュリティ企業XLabはKimwolfに関する詳細分析を公開しました。Kimwolfは感染デバイスを分散型サービス妨害(DDoS)攻撃に参加させ、いわゆる「レジデンシャルプロキシ」サービスのために、迷惑で悪意あるインターネットトラフィックを中継させます。
デバイスをレジデンシャルプロキシに変えるソフトウェアは、モバイルアプリやゲームにひそかに同梱されていることがよくあります。Kimwolfは、工場出荷時にレジデンシャルプロキシ用ソフトウェアがインストールされている、未承認のAndroid TVストリーミングデバイスの1,000種類以上の異なるモデルを特に標的にしました。ほどなくして、そのレジデンシャルプロキシのインターネットアドレスは、広告詐欺、アカウント乗っ取りの試行、大量コンテンツスクレイピングに関連するトラフィックを流し始めます。
XLabの報告書は、研究者がKimwolfとAisuruボットネット(DDoS攻撃およびプロキシサービスに利用するためにデバイスを奴隷化した、Kimwolfの旧バージョン)を展開するのに、同一のサイバー犯罪者アクターとインフラが使われたという「決定的な証拠」を見つけたと説明しています。
XLabは、コード変更の推移に共通点があることなどから、10月の時点でKimwolfとAisuruの作者および運用者が同一であると疑っていたと述べています。しかし、その疑いは12月8日、両方のボットネット株が93.95.112[.]59という同一のインターネットアドレスから配布されているのを目撃したことで確証に変わったとしています。
画像:XLab。
RESI RACK
公開記録によれば、XLabが指摘したインターネットアドレス範囲は、ユタ州リーハイに拠点を置くResi Rack LLCに割り当てられています。Resi Rackのウェブサイトは同社を「プレミアム・ゲームサーバー・ホスティング・プロバイダー」とうたっています。一方で、インターネットの収益化フォーラムBlackHatWorldに掲載されたResi Rackの広告では、「プレミアム・レジデンシャルプロキシ・ホスティングおよびプロキシソフトウェアソリューション企業」と紹介されています。
Resi Rackの共同創業者Cassidy Hales氏はKrebsOnSecurityに対し、12月10日にKimwolfが同社ネットワークを使用しているという通知を受け取ったと述べました。その通知には「当社のサーバーを借りている顧客の一人が何をしていたか」が詳細に記されていたといいます。
「このメールを受け取った際、私たちは直ちにこの問題に対処しました」とHales氏はコメント要請へのメール返信で書いています。「当社の名前がこの件と結び付けられてしまったことは非常に残念であり、これは当社の意図とはまったく異なるものです。」
XLabが12月8日に挙げたResi Rackのインターネットアドレスは、それより2週間以上前からKrebsOnSecurityのレーダーに入っていました。Benjamin Brundage氏は、プロキシサービスを追跡するスタートアップSynthientの創業者です。2025年10月下旬、Brundage氏は、AisuruおよびKimwolfボットネットから利益を得ている複数のプロキシサービスの販売者が、resi[.]toという新しいDiscordサーバーで活動していると共有しました。
2025年11月24日、resi-dot-toのDiscordチャンネルのメンバーが、Kimwolfボットネットに感染したAndroid TVストリーミングボックス上でトラフィックをプロキシしているIPアドレスを共有している。
KrebsOnSecurityが10月下旬に無言の閲覧者としてresi[.]toのDiscordチャンネルに参加した時点で、サーバーのメンバーは150人未満でした。その中には、Resi Rackの共同創業者Hales氏が使用するニックネーム「Shox」と、ビジネスパートナーの「Linus」が含まれていました(Linusはコメント要請に応じませんでした)。
resi[.]toのDiscordチャンネルの他のメンバーは、Kimwolfボットネット上でトラフィックをプロキシする役割を担う新しいIPアドレスを定期的に投稿していました。上のresi[.]toのスクリーンショットが示すとおり、XLabが指摘したResi Rackのインターネットアドレスは、遅くとも11月24日(あるいはそれ以前)から、Kimwolfがプロキシトラフィックを誘導するために使用していました。Synthientによれば、2025年10月から12月にかけて、Kimwolfのプロキシインフラに接続されたResi Rackの固定IPアドレスを少なくとも7つ追跡したといいます。
Resi Rackの共同所有者2人はいずれも、追加の質問には回答しませんでした。両者は約2年にわたり、Discordを通じてプロキシサービスの販売に関与してきました。サイバーインテリジェンス企業Flashpointがインデックス化したDiscordメッセージのレビューによると、ShoxとLinusは2024年の大半を、大手米国インターネットサービスプロバイダーの複数のインターネットアドレスブロックを経由させることで、固定の「ISPプロキシ」を販売していました。
2025年2月、AT&Tは発表し、2025年7月31日付で、AT&Tが所有・管理していないネットワークブロックについては経路の発信を行わないとしました(その後、他の大手ISPも同様の動きを見せています)。それから1カ月も経たないうちに、ShoxとLinusは、これらのポリシー変更の結果として、まもなく固定ISPプロキシの提供を停止すると顧客に伝えました。
ISPプロキシの販売をやめる決定について話すShoxとLinux。
DORT & SNOW
resi[.]toのDiscordサーバーの名目上の所有者は、短縮ユーザー名「D」を名乗っていました。この頭文字は、これらのDiscordチャット全体で頻繁に言及されていたハッカーハンドル「Dort」の略である可能性が高いようです。
resi dot toにおけるDortのプロフィール。
この「Dort」というニックネームは、KrebsOnSecurityが最近「Forky」と交わした会話でも出てきました。Forkyはブラジル人男性で、2024年末のAisuruボットネット立ち上げ当初のマーケティングに関与していたことを認めています。しかしForkyは、2025年後半にAisuruの犯行とされた一連の大規模かつ記録破りのDDoS攻撃については、自分は一切関与していないと強く否定し、その時点ではボットネットがライバルに乗っ取られていたと述べています。
Forkyは、Dortがカナダ在住で、現在Aisuru/Kimwolfボットネットを支配している少なくとも2人のうちの1人だと主張しています。ForkyがAisuru/Kimwolfのボットマスターとして挙げたもう1人は、「Snow」というニックネームで呼ばれています。
1月2日――Kimwolfに関する当サイトの記事が公開されてからわずか数時間後――resi[.]toの過去のチャット記録は予告なく消去され、Synthientの創業者に向けた罵詈雑言まじりのメッセージに置き換えられました。その数分後、サーバー全体が消滅しました。
同日遅く、すでに消滅したresi[.]toのDiscordサーバーで比較的活発だった複数のメンバーがTelegramチャンネルへ移動し、Brundage氏の個人情報を投稿したほか、ボットネット向けの信頼できる「bulletproof(摘発耐性)」ホスティングが見つからないことを概ね不満として述べていました。
滑稽なことに、「Richard Remington」という名前のユーザーが一時的にグループのTelegramサーバーに現れ、DortとSnowが現在、Aisuruおよび/またはKimwolfに感染した350万台のデバイスを支配していると主張する、下品な「新年おめでとう」スケッチを投稿しました。Richard RemingtonのTelegramアカウントはその後削除されましたが、以前は、DDoS代行(DDoS-for-hire)または「stresser」サービスが火力を試すためのサイトを運営していると記載していました。
BYTECONNECT、PLAINPROXIES、そして3XK TECH
SynthientとXLabの双方の報告は、Kimwolfが、感染システムを複数のレジデンシャルプロキシサービス向けのインターネットトラフィック中継に変えるプログラムを展開するために使われたことを突き止めました。その中には、Plainproxiesとして知られるプロバイダーが配布する、ByteConnectというソフトウェア開発キット(SDK)をインストールするコンポーネントも含まれていました。
ByteConnectは「アプリを倫理的かつ無料で収益化する」ことを専門としていると述べており、Plainproxiesはコンテンツスクレイピング企業に「無制限」のプロキシプールを提供できると宣伝しています。しかしSynthientによれば、ByteConnectのSDKに接続したところ、代わりにメールサーバーや人気オンラインサイトを標的としたクレデンシャルスタッフィング攻撃が大量に流入するのを観測したといいます。
LinkedInを検索すると、PlainproxiesのCEOはFriedrich Kraft氏であることが分かります。同氏の履歴書には、ByteConnect Ltdの共同創業者であると記載されています。公開されているインターネットのルーティング記録によれば、Kraft氏はドイツで3XK Tech GmbHというホスティング企業も運営しています。Kraft氏は、繰り返し行ったインタビュー要請に応じませんでした。
2025年7月、Cloudflareは、3XK Tech(別名Drei-K-Tech)がアプリケーション層DDoS攻撃のインターネット最大の発信源になったと報告しました。2025年11月には、セキュリティ企業GreyNoise Intelligenceが発見し、3XK Tech上のインターネットアドレスが、当時Palo Alto Networks製セキュリティ製品で新たに見つかった重大な脆弱性を狙ったインターネットスキャンのおよそ4分の3を担っていたとしています。
出典:Cloudflareの2025年第2四半期DDoS脅威レポート。
LinkedInには、Plainproxiesの別の従業員であるJulia Levi氏のプロフィールもあります。Levi氏はByteConnectの共同創業者として記載されています。Levi氏はコメント要請に応じませんでした。履歴書によれば、同氏は以前、2つの大手プロキシプロバイダー(Netnut Proxy NetworkおよびBright Data)で勤務していました。
Synthientも同様に、Plainproxiesが同社からの連絡を無視したと述べ、Byteconnect SDKがKimwolfに侵害されたデバイス上で依然として稼働し続けている点を指摘しました。
MASKIFY
Synthientの1月2日付レポートは、Kimwolfプロキシの販売に深く関与していた別のプロキシプロバイダーとしてMaskifyを挙げています。Maskifyは現在、複数のサイバー犯罪フォーラムで、賃貸可能なレジデンシャルのインターネットアドレスが600万以上あると宣伝しています。
Maskifyは、プロキシを通じて中継されるデータ1ギガバイトあたり30セントという料金でサービスを提供しています。Synthientによれば、この価格帯は異常に安く、現在事業を行っている他のどのプロキシプロバイダーよりもはるかに低価格だといいます。
「Synthientのリサーチチームは、他のプロキシプロバイダーからのスクリーンショットを受け取りました。そこには、Kimwolfの主要アクターが、前払いの現金と引き換えにプロキシ帯域を放出しようとしている様子が示されていました」とSynthientのレポートは述べています。「この手法は初期開発の資金源になった可能性が高く、関係メンバーは得た収益をインフラや外注開発タスクに費やしていました。なお、再販業者は自分たちが何を売っているかを正確に理解しています。この価格のプロキシは倫理的に調達されたものではありません。」
Maskifyはコメント要請に応じませんでした。
Maskifyのウェブサイト。画像:Synthient。
ボットマスターの逆ギレ
Kimwolfに関する最初の記事が先週公開されてから数時間後、resi[.]toのDiscordサーバーは消え、SynthientのウェブサイトはDDoS攻撃を受け、Kimwolfのボットマスターたちはボットネットを使ってBrundage氏の個人情報晒し(doxing)に乗り出しました。
嫌がらせメッセージは、Ethereum Name Service(ENS)にアップロードされたテキストレコードとして現れました。ENSは、Ethereumブロックチェーン上に展開されたスマートコントラクトを支えるための分散システムです。XLabが記録しているとおり、12月中旬にKimwolfの運用者はインフラをアップグレードし、ボットネットの制御サーバーを狙うほぼ絶え間ないテイクダウンの試みにより耐えるため、ENSの利用を開始しました。
Kimwolf運用者が使用したENSレコード。ボットネットの制御サーバーを停止させようとするセキュリティ企業を嘲弄している。画像:XLab。
感染システムに対し、ENS経由でKimwolfの制御サーバーを探すよう指示することで、たとえボットマスターがボットネットを制御するために使っているサーバーが停止させられても、攻撃者は制御サーバーの新しいインターネットアドレスを反映するようENSのテキストレコードを更新するだけで済みます。すると感染デバイスは、追加の指示を得るためにどこを見ればよいかを直ちに把握できます。
「このチャネル自体は、ブロックチェーンの分散性に依存しており、Ethereumや他のブロックチェーン運用者によって規制されず、ブロックすることはできません」とXLabは書いています。
KimwolfのENS指示に含まれるテキストレコードには、Brundage氏の個人情報を載せたもののように、短いメッセージを含めることもできます。Kimwolfに関連する別のENSテキストレコードには、次のような含蓄ある助言もありました。「フラグが立った場合、TVボックスは破壊することを推奨する。」
Kimwolfボットネットに結び付いたENSレコードは、「フラグが立った場合、TVボックスは破壊することを推奨する」と助言している。
SynthientとXLabsはいずれも、Kimwolfが膨大な数のAndroid TVストリーミングボックスのモデルを標的にしていると述べています。これらはいずれもセキュリティ保護がゼロであり、多くはプロキシ型マルウェアを内蔵した状態で出荷されています。一般論として、これらのデバイスの1つにデータパケットを送れるなら、管理者権限を奪うことも可能です。
これらのモデル名および/または型番のいずれかに該当するTVボックスを所有している場合は、ネットワークから引き抜いてください。家族や友人のネットワークでこれらのデバイスを見つけた場合は、この話(または1月2日付のKimwolfに関する記事)へのリンクを送り、接続したままにしておくことで生じ得る手間や被害を考えると割に合わないことを説明してください。
翻訳元: https://krebsonsecurity.com/2026/01/who-benefited-from-the-aisuru-and-kimwolf-botnets/
