昨年秋以降、Lumen TechnologiesのBlack Lotus Labsチームは、AISURUおよびKimwolfボットネットに接続されたコマンド&コントロール(C2)サーバーを550台以上、成功裏に停止させてきました。これらの悪意あるネットワークは同種の中でも最も手強い存在の一つとして存続しており、侵害されたデバイスの群れを操って強力なDDoS攻撃を実行し、住宅用プロキシサービスを介したトラフィックのルーティングも可能にしています。
QiAnXinによる専門的な分析は、Kimwolfのアーキテクチャ上の複雑な仕組みに厳しい光を当てました。調査結果によれば、このマルウェアは主に未認証のAndroidセットトップボックスに侵入し、ByteConnectと呼ばれる組み込みSDKを通じてそれらをプロキシノードへと変貌させます。拡散は直接的にも、疑わしいプリインストールアプリ経由でも行われます。その結果、ADBインターフェースが露出した200万台超のデバイスが、トラフィックフィルタリングの回避と追加感染の拡散に悪用されるネットワークへ取り込まれました。
その後、Kimwolfの設計者たちは、これら侵害資産へのアクセスを単に貸し出していたのではなく、固定料金制のスキームでプロキシトラフィックの収益化を積極的に試みていたことが明らかになりました。9月、Black Lotus Labsは、カナダのIPアドレスから発生し、ボットネットの制御インフラへSSH接続を確立する不審な活動を記録しました。奇妙なことに、そうしたドメインの一つは11月にCloudflareの最頻出ドメインランキングで一時的にGoogleを上回ったものの、その後削除されました。
10月には、ユタ州のプロバイダーであるResi Rack LLCに属するIPアドレス上でホストされる、二次的なコマンド&コントロールサーバーが特定されました。同社はゲーム向けインフラの提供者を自称していますが、共同創業者らがresi[.]toという名称のDiscordサーバーを通じてプロキシアクセスを売りさばいていたことを示す証拠が浮上しました。この通信チャネルはその後消滅したものの、侵害ノードが実際に販売される主要なマーケットプレイスとして機能していました。
これらの出来事と同時期に、Black Lotus LabsはKimwolfのリクルート(感染拡大)が急増していることを観測し、10月中旬までにボット総数は80万台に達しました。これらの資産のほぼすべてが、同一の住宅用プロキシサービスを通じて競売にかけられていました。調査により、このボットネットがPYPROXYのようなプラットフォームを積極的にスキャンして脆弱性を探し、ローカルネットワークへ侵入して、ADBモードが有効なデバイスを隷属化していたことが示されました。この手法により、それらは貸し出し用プロキシノードへと変換され、後続の攻撃者がマルウェアのさらなる拡散を容易にするために利用できるようになっていました。
10月に主要な制御ノードが無力化された後、運用者は管理インターフェースを、同じくResi Rack LLCに関連付けられた別のIPアドレスへ移行しました。この移行の直後、悪意あるペイロード送信が増加し、これらのIPレンジとAISURUインフラとの間に深い結び付きがあることを示唆しました。
こうした暴露のさなか、KeeneticOSを実行する800台超の侵害ルーターから成る新興のプロキシネットワークに関する報告が浮上しました。同一の設定とSSHフィンガープリントは、高度に自動化された侵害プロセスを示唆しており、おそらく認証情報の収集、またはファームウェアに内在する脆弱性の悪用によって達成されたと考えられます。これら乗っ取られたルーターはプロキシゲートウェイとして機能し、脅威アクターが住宅利用者のありふれたトラフィックの中に有害な活動を紛れ込ませることを可能にしました。データセンターや商用ホスティング施設とは異なり、こうした住宅用デバイスはブラックリストや標準的なトラフィック分析ツールをすり抜けることが多く、検知は極めて困難になります。
