安価でノーブランドのAndroid TVボックスを購入し、テレビに接続して、何年ものあいだ意識の片隅に追いやったままにしていると、知らぬ間に静かな見張り番を抱え込んでいるかもしれません。この家庭内の目立たない場所で、デバイスは密かにあなたの家庭内ネットワークを、サイバー攻撃や違法なデジタルサービスのための器へと変貌させ得ます。これこそがKimwolfボットネットの発端です。Kimwolfは、巨大かつ組織的な侵害によって、200万台を超える「非正規」Android TVデバイスを侵害した、拡大中の脅威です。
2025年12月、研究集団XLabはKimwolfの包括的なフォレンジック解析を公開しました。彼らの調査によれば、感染したセットトップボックスは二重の目的で武器化されています。すなわち、DDoS攻撃の指揮と、「レジデンシャル・プロキシ」ネットワークのノードとしての提供です。この業界は、本物の家庭用機器から発信されたように見えるインターネットトラフィックを商品化しており、これは広告詐欺、クレデンシャル・スタッフィング、アカウント乗っ取り、産業規模のウェブスクレイピングにおいて非常に重宝される資源です。
Kimwolfの際立った特徴は、従来のスマートフォンではなく、低価格TVボックスの基盤インフラに焦点を当てている点です。報告書は、悪意あるコンポーネントが、千種類を超える「非正規」Android TVモデルにおいて工場出荷段階で事前にインストールされているケースが頻繁にあることを明らかにしています。起動すると、これらのデバイスは直ちに不審なトラフィックの吸い上げを開始しますが、所有者はこの組織的な悪用に気づかないままです。
XLabはさらに、Kimwolfが先行するAisuruボットネットの進化形であると主張しています。研究者らは両者を結び付ける「反駁の余地のない証拠」を発見し、双方が同一のインフラを利用していたと指摘しました。具体的には、2025年12月8日、両ボットネットの亜種が同じIPアドレス—93.95.112.59—から拡散しているのが観測され、単一の脅威集団の関与が裏付けられました。
公開記録は、このIPレンジをユタ州リーハイに拠点を置くResi Rack LLCに関連付けています。同社の公式サイトはゲームサーバーのホスティング提供をうたっていますが、BlackHatWorldフォーラム上の宣伝文句は別の実態を描きます。すなわち、「プレミアム・レジデンシャル・プロキシ・ホスティング」とプロキシソフトウェア開発に深く関与する企業です。Resi Rack共同創業者のCassidy Halesは、通知を受けて「直ちに解決した」とKrebsOnSecurityに述べましたが、その後同社は追加の問い合わせへの回答を拒否しました。
XLabの公表以前に、Synthientの研究者は、AisuruとKimwolfから利益を得ているプロキシ業者が、resi.toという名称のDiscordサーバーを通じて連携していることを突き止めました。2025年10月下旬、このサーバーには約150人の参加者がおり、その中には「Shox」と名乗るユーザー(Resi Rackの共同創業者と特定)と、そのパートナー「Linus」も含まれていました。メンバーは、プロキシ経由トラフィックに使用される新しいIPアドレスを頻繁に交換していました。Synthientは、2025年10月から12月にかけて、Kimwolfのインフラに直接結び付いた静的なResi Rackのアドレスを少なくとも7件記録しました。
調査では、他にも「D」(ハッカーのDortである疑い)や「Snow」といった秘密裏の人物が浮上しました。Aisuruの初期プロモーションに関与したと認める「Forky」と呼ばれるブラジル人の関係者は、現在DortとSnowが両ボットネットを支配していると主張しました。奇妙なことに、2026年1月2日の最初の報告の後、resi.toサーバーは一掃され削除されました。活動中の参加者はTelegramへ移動し、そこで研究者の個人情報を晒し、悪性ネットワークのための「防弾」ホスティング確保の難しさについて議論したと報じられています。同時に、Synthientは報復的なDDoS攻撃の被害に遭いました。
耐性を高めるため、Kimwolfの運用者はEthereum Name Service(ENS)を取り込んでいます。ENSレコードを利用することで、ボットネットはセキュリティチームによるコマンド&コントロール(C2)サーバーの停止作業を困難にします。感染デバイスはENS内のテキストレコードを通じてC2アドレスを取得し、サーバーが無力化されれば、運用者はレコードを更新してボットネットを新たな宛先へリダイレクトするだけです。これらのレコードは、セキュリティアナリストの個人データを含む脅迫的メッセージの発信にも用いられてきました。
調査では、ByteConnect SDKを配布するPlainproxiesなど、Kimwolfのトラフィックから利益を得るサービスも精査されました。「倫理的なアプリ収益化」のためのツールとして自社を売り込む一方で、Synthientは、このSDKから発生するクレデンシャル・スタッフィング攻撃(メールサーバーや人気プラットフォームを標的)が急増していることを観測しました。PlainproxiesのCEOでありByteConnect Ltdの共同創業者でもあるFriedrich Kraftは、ドイツのホスティング企業3XK Tech GmbHとも関連付けられています。2025年7月、Cloudflareは3XK Techをアプリケーション層DDoS攻撃の主要な発生源として特定し、11月にはGreyNoiseが、重大なPalo Alto Networksの脆弱性を狙ってインターネットをスキャンする役割を担っていると指摘しました。
別の事業体であるMaskifyは、数百万の「レジデンシャル」アドレスを不自然に安い価格で宣伝しています。Synthientは、Kimwolfに関連するアクターがプロキシ帯域を現金前払いで販売しようとしている証拠を確認したと報告しており、これはこれらのプロキシが非倫理的な手段で入手されていることを明確に示しています。
XLabとSynthientはいずれも同意しています。こうした「無名」のAndroid TVボックスの大半は基本的なセキュリティを欠き、悪意あるコンポーネントがあらかじめ搭載された状態で届くことが少なくありません。デバイスが公開ネットワークから到達可能であれば、完全な侵害にさらされます。したがって、公式アップデートのないノーブランドの安価なAndroid TVボックスを所有している場合、組織的な乗っ取りのリスクを軽減するため、直ちにネットワークから切り離すことが強く推奨されます。
