Kimwolfと呼ばれる新しいモノのインターネット(IoT)ボットネットが200万台以上のデバイスに拡散し、感染したシステムに大規模な分散型サービス妨害(DDoS)攻撃への参加と他の悪意のある不正なインターネットトラフィックの中継を強制しています。侵害されたシステムのローカルネットワークをスキャンして感染する他のIoTデバイスを探すKimwolfの能力は、組織にとって深刻な脅威となっており、新しい研究によるとKimwolfは政府および企業ネットワークで驚くほど蔓延していることが明らかになりました。
画像: Shutterstock、@Elzicon。
Kimwolfは2025年後半に急速に成長しました。さまざまな「レジデンシャルプロキシ」サービスを騙して、マルウェアをそのプロキシエンドポイントのローカルネットワーク上のデバイスに悪意のあるコマンドをリレーさせることで成長しました。レジデンシャルプロキシはウェブトラフィックを特定の地域に匿名化してローカライズする方法として販売されており、これらのサービスの中で最大級のものは、顧客が世界中のほぼすべての国や都市のデバイスを通じてインターネットアクティビティをルーティングできます。
インターネット接続をプロキシノードに変えるマルウェアは、様々なモバイルアプリやゲームに静かに同梱されることが多く、通常、感染したデバイスに悪意のある不正なトラフィック(広告詐欺、アカウント乗っ取り試行、大量コンテンツスクレイピングを含む)をリレーさせることを強制します。
Kimwolfは主にIPIDEAという中国のサービスをターゲットにしていました。このサービスは毎週数百万のプロキシエンドポイントをレンタル用に提供しています。Kimwolfオペレーターは、IPIDEAプロキシエンドポイントの内部ネットワークに悪意のあるコマンドを転送できることを発見し、その後、各エンドポイントのローカルネットワーク上の他の脆弱なデバイスをプログラム的にスキャンして感染させることができました。
Kimwolfのローカルネットワークスキャンを通じて侵害されたシステムのほとんどは、非公式のAndroid TVストリーミングボックスです。これらは通常、Android Open Source Projectデバイス(Android TV OSデバイスやPlay Protect認定Androidデバイスではない)であり、一般的には無制限の(つまり海賊版の)ビデオコンテンツを人気のあるサブスクリプションストリーミングサービスから一度の支払いで視聴する方法として販売されています。
ただし、これらのテレビボックスの多くにはレジデンシャルプロキシソフトウェアがプリインストールされて消費者に配送されています。さらに、それらには本当のセキュリティ認証が組み込まれていません。テレビボックスと直接通信できれば、マルウェアで簡単に侵害することもできます。
IPIDEAおよび他の影響を受けたプロキシプロバイダーは最近、Kimwolfのような脅威がそのエンドポイントにアップストリームに向かうのをブロックするための措置を講じていますが(報告によると様々な程度の成功で)、Kimwolfマルウェアは数百万の感染したデバイスに残ったままです。
IPIDEAのプロキシサービスのスクリーンショット。
Kimwolfとレジデンシャルプロキシネットワークおよび侵害されたAndroid TVボックスとの密接な関連性は、企業ネットワークでの感染数が比較的少ないことを示唆しているかもしれません。しかし、セキュリティ企業のInfobloxは、顧客トラフィックの最近のレビューがそのうちのほぼ25%が2025年10月1日以降にKimwolf関連のドメイン名へのクエリを行ったことを発見しました(ボットネットが最初に生命の兆候を示したとき)。
Infobloxは、影響を受けた顧客が世界中にあり、教育やヘルスケアから政府と金融まで、様々な業界部門にわたっていることを発見しました。
「明確にするために、これはほぼ25%の顧客がKimwolfオペレーターによってターゲットにされたレジデンシャルプロキシサービスのエンドポイントであった少なくとも1つのデバイスを持っていたことを示唆しています」とInfobloxは説明しました。「そのようなデバイス、おそらく携帯電話またはラップトップは、本質的に脅威行為者によって共同使用され、ローカルネットワークをスキャンして脆弱なデバイスを探すために使用されました。クエリはスキャンが行われたことを意味し、新しいデバイスが侵害されたことではありません。脆弱なデバイスが見つからない場合、またはDNS解決がブロックされた場合、横断移動は失敗します。」
Synthientは、プロキシサービスを追跡するスタートアップであり、1月2日にKimwolfが使用する独自の方法を最初に開示しました。IPIDEAからのプロキシエンドポイントが世界中の政府および学術機関に驚くべき数で存在していることを発見しました。Synthientは、大学と大学の少なくとも33,000の影響を受けたインターネットアドレス、およびさまざまな米国および外国政府ネットワーク内の約8,000のIPIDEAプロキシを発見したと述べました。
SynthientによるとIPIDEAのレジデンシャルプロキサーサービスユーザーによって求められた上位50のドメイン名。
1月16日のウェビナーで、プロキシ追跡サービスSpurの専門家は、IPIDEAおよびKimwolfのトリックに脆弱であると考えられた他の10つのプロキシサービスに関連するインターネットアドレスをプロファイルしました。Spurは、ほぼ300の政府が所有・運営するネットワーク、318の公益企業、166のヘルスケア企業または病院、141の銀行および金融企業内にレジデンシャルプロキシを発見しました。
「私は298の[政府]が所有・運営している[ネットワーク]を見ましたが、その多くはDoD [米国防総省]であり、DoD内にIPIDEAおよび他のプロキシサービスが存在しているということは恐ろしいことです」とSpur共同創設者Riley Kilmerは述べました。「これらの企業がこれらのネットワークをどのようにセットアップしているのかわかりません。[感染したデバイス]がネットワーク上で分離されている可能性もあり、ローカルアクセスがあったとしても、それが実際に何を意味するのかはほとんどありません。ただし、それは注意する価値があります。デバイスが入ってきた場合、デバイスがプロキシアクセス権を持つすべてのものがアクセス権を持つことになります。」
Kilmerは、Kimwolfが単一のレジデンシャルプロキシ感染がファイアウォールの背後に保護されていないデバイスを保持している組織にとってより大きな問題にいかに迅速に導くことができるかを示しており、プロキシサービスは攻撃者がターゲット組織のローカルネットワーク上の他のデバイスをプローブするために潜在的に単純な方法を提供することに注目しました。
「企業内に[プロキシ]感染があることを知っていれば、その[ネットワーク]から出てくることを選択し、ローカルでピボット[移動]することができます」とKilmerは述べました。「どこから始めるか、または何を見るかについてのアイデアがあれば、これでちょうどそのスタンスに基づいて企業またはエンタープライズにフットホールドができました。」
これはKimwolfボットネットに関するシリーズの3番目のストーリーです。来週、Badbox 2.0ボットネットに関連する無数の中国を拠点とする個人および企業に光を当てます。このボットネットは識別可能なセキュリティまたは認証を組み込まずに、レジデンシャルプロキシマルウェアがプリインストールされた多数のAndroid TVストリーミングボックスモデルの集合名です。
さらに読むには:
Kimwolfボットネットがあなたのローカルネットワークをストーキングしています
AisuruおよびKimwolfボットネットから恩恵を受けたのは誰ですか?
ボットネットを促進する破たんしたシステム(Synthient)。
翻訳元: https://krebsonsecurity.com/2026/01/kimwolf-botnet-lurking-in-corporate-govt-networks/
