Kimwolfボットネットを操るサイバー犯罪者たちは、まさに途方もない買収を誇示するつもりのようだ。Badbox 2.0のコントロールパネルへの侵入を示すとされるスクリーンショットがオンライン上で浮上した。Badbox 2.0は世界最大級のボットネットの一つで、数百万台に及ぶ感染済みの中国製Android TVセットトップボックスを包含している。FBIとGoogleによれば、Badbox 2.0は長らく追跡対象となってきたが、この流出により、この広大なインフラの背後にいる可能性のある設計者が浮かび上がった。
Kimwolfはすでに200万台超のデバイスを侵害しており、その攻撃的な拡散手法で悪名を馳せている。主な侵入経路は、「映画やシリーズに無料でアクセスできるセットトップボックス」として、単発の一回払いで販売される違法なAndroid TVボックスだ。マルウェアは販売前にプリインストールされているか、初期設定時に偽アプリやサードパーティのマーケットプレイスを介して導入される。
研究者は以前、Kimwolfの管理者をDortとSnowという別名で特定していた。今回、元関係者がBadbox 2.0のコントロールパネルから取得されたとされるスクリーンショットを記者に提供した。画像には7つの認可アカウントが表示されており、情報源によれば「ABCD」という名前のものはDortのものだという。彼が自身のメールアドレスをボットネット管理システムの正規ユーザーとして追加することに成功したと推測されている。
Badboxには長い系譜がある。この名称を持つ最初のボットネットは2023年に特定され、インフラは2024年に部分的に妨害された。しかし2025年には新たな亜種であるBadbox 2.0が出現し、Googleは、広告詐欺や家庭内ネットワーク感染に利用される未認証Androidデバイスが1,000万台超含まれていたと推定している。当時FBIは、そのようなデバイスが悪意ある行為者にユーザーのローカルネットワークへの直接アクセスを与え得ると警告していた。
流出したスクリーンショットに含まれるメールアドレスを分析したところ、研究者は複数の中国のIT企業や、Badbox 2.0の報告書で以前言及されたモバイルアプリ開発およびドメイン基盤に関連する特定の個人に行き着いた。具体的には、Chen DaihaiおよびZhu Zhiyuという名前が、このボットネットに関する調査で既に言及されているドメイン、企業、住所の登録と結び付けられた。
最大の危険は別のところにある。Kimwolfは家庭内ネットワーク内の脆弱なIoTデバイスを介して拡散し、レジデンシャルプロキシサービスを利用する。多くのプロキシ提供者がこの抜け穴を塞いだ後、Kimwolfの拡散速度は減速し始めた。しかし、Kimwolfの管理者が実際にBadbox 2.0のコントロールパネルへ不正アクセスしているのだとすれば、彼らは、すでにそのボットネットに取り込まれている数百万台のAndroid TVボックスへマルウェアをインストールするための直接的な経路を手に入れることになる。
情報源によれば、これこそがKimwolf運営者の「秘密の切り札」だった。すなわち、プロキシ基盤を迂回してBadbox 2.0のボックスにマルウェアを直接アップロードできる能力である。コントロールパネルへのアクセスがどのようにして得られたのか、その正確な方法は依然として不明だ。それでも研究者は、スクリーンショットに記載されたすべてのアカウント保有者にすでに通知しており、Dortのアクセスは間もなく取り消される可能性がある。
この情報が裏付けられれば、二つの主要なボットネット生態系が交差する稀有な事例となり、世界中の家庭内ネットワークに対する脅威が深刻にエスカレートすることを意味する。とりわけ、安価で非公式なAndroid TVボックスを利用している人々にとっては重大だ。
翻訳元: https://meterpreter.org/the-botnet-merger-kimwolf-hijacks-10-million-badbox-2-0-devices/
