それは密かに家庭、企業のオフィス、さらには主権国家の政府ネットワークにまで侵入し、いまや世界中で数百万台のデバイスを支配している。Kimwolfと名付けられた新興のIoTボットネットは、すでに200万台を超えるガジェットを侵害し、DDoS攻撃の実行や悪意あるインターネットトラフィックの流通のための強大な軍団へと徴用している。さらに不穏なのは、このボットネットが侵害されたホストのローカルエリアネットワーク(LAN)を精査し、隣接するすべてのデバイスに感染を広げられる点であり、組織および企業インフラに対する重大な脅威となっている。
Kimwolfボットネットは、極めて異例の手口を用いることで、2025年後半に指数関数的な拡大を遂げた。運用者は、通常は匿名化やジオ(地理)難読化の手段として販売される、いわゆる「レジデンシャル・プロキシ・サービス」を悪用した。これらのサービスは、特定の地域にいる一般ユーザーのデバイスを経由して接続を中継できる。スマートフォン、セットトップボックス、またはパーソナルコンピュータをプロキシノードへと変貌させるマルウェアは、しばしばモバイルアプリやゲームに密かに埋め込まれている。その結果、乗っ取られたデバイスは外部のトラフィックを中継し、広告詐欺に加担し、クレデンシャルスタッフィングを組織し、大規模なウェブスクレイピングを実行するようになる。
Kimwolfの主たる標的は、中国のプロキシ提供事業者IPIDEAであり、同社は週次で数百万のアクティブノードを擁している。攻撃者は、これらのノードが単なるコマンド&コントロールの伝播手段としてだけでなく、内部のローカルネットワークへ侵入するための導管として機能し、その後、脆弱なハードウェアの探索と感染を自動化できることを突き止めた。
多くの場合、攻撃の矛先が向けられたのは、認証を受けていないAndroid TVストリーミングボックスであり、海賊版メディアを視聴するための「ユニバーサル」デバイスとして販売されていることが多い。これらの周辺機器は通常、堅牢なセキュリティフレームワークや認証プロトコルを欠いたAndroid Open Source Project(AOSP)上で動作し、時にはプロキシ ソフトウェアがプリロードされた状態で出荷されることもある。ネットワーク経由でアクセス可能である限り、悪意あるペイロードで感染させるのは容易だ。
コンピュータ ハードウェア
IPIDEAおよび同様の提供事業者は、こうした侵入を無力化する取り組みを開始しているものの、依然として数百万台のデバイスが侵害されたままだ。当初は家庭内の問題と見なされていたが、現実ははるかに深刻であることが判明した。Infobloxのデータによれば、同社の法人顧客の約25%が、2025年10月以降にKimwolfに関連するドメインとの通信を記録している。これは、各ネットワーク内の少なくとも1台のデバイスが、ボットネットがさらなる獲物を求めてローカルインフラをマッピングしようとする際のプロキシノードとして機能していたことを示唆する。
フォレンジック調査により、感染が学術機関や医療から金融機関、政府機関に至るまで、多様な分野に浸透していることが明らかになっている。スタートアップのSynthient は、世界中の大学・カレッジ内にある数万のプロキシノードに加え、複数の国家の主権ネットワーク内に位置する数千のアドレスを特定した。Spurのアナリストはこの危機をさらに詳述し、公共事業体、病院、銀行に属する数百の侵害ネットワークを暴き出した。
Kimwolfは、たった1台の乗っ取られたセットトップボックス、携帯端末、あるいはノートPCが、企業ネットワーク全体への攻撃の橋頭堡となり得ることを如実に示している。レジデンシャル・プロキシは偵察のための便利な道具へと進化し、攻撃者が組織の内部インフラを内側から文字どおり解剖できるようにしている。認証を受けていないガジェットや十分に保護されていない「スマート」デバイスが職場でますます遍在する時代において、この種のボットネットはもはや技術的な珍奇ではなく、産業全体のセキュリティに対する真の存亡の脅威となっている。
翻訳元: https://meterpreter.org/the-wolf-inside-the-walls-kimwolf-botnet-enslaves-2-million-devices/
