新たに発見されたKadNapと呼ばれるマルウェアキャンペーンは、インターネットに公開された14,000以上のルーターとエッジデバイスをステルスプロキシボットネットに静かに徴募しており、Asusルーターが主な被害者となっています。
既知の被害者の60%以上は米国に位置しており、台湾、香港、ロシア、その他の国でも追加の感染が観察されています。KadNapがルーターに感染する方法
このキャンペーンは2025年8月初旬に10,000以上のAsusデバイスが疑わしいサーバークラスターと通信しているのが最初に検出されました。
さらなる分析により、212.104.141[.]140でホストされているaic.shという名前のシェルスクリプトで始まる悪意のあるダウンロードチェーンが明らかになりました。このスクリプトは永続性を獲得し、KadNapペイロードをステージングするために使用されます。
このスクリプトは、悪意のあるシェルスクリプトを繰り返し取得し、「.asusrouter」に名前変更し、/jffs/.asusrouterパスから実行する時間ごとのcronジョブを作成し、リブートと設定変更の後も危険な状態が維持されることを保証します。
Lumenの Black Lotus Labsによって発見されたこの作戦は少なくとも2025年8月以降活動しており、現在、世界中の侵害されたホームおよび小規模オフィスネットワークを通じて悪意のあるトラフィックをルーティングするために積極的に悪用されています。
永続性が確立されると、スクリプトはルーター用のELFバイナリをプルダウンし、「kad」に名前変更して実行します。これはKadNapマルウェア自体です。
ARMおよびMIPSアーキテクチャの両方のサンプルが特定されており、脅威アクターがAsusモデルだけでなく、幅広いコンシューマーおよびエッジネットワークハードウェアをターゲットにすることを可能にします。
初期化中、KadNapは自身をフォークしてSTDIN、STDOUT、STDERRを/dev/nullにリダイレクトしてデーモン化し、デバイスの外部IPアドレスを決定し、公開NTPサーバーと時刻を同期します。その後、時間とアップタイムの値を使用して、ピアツーピア通信を駆動する暗号ハッシュを構築します。
C2を隠すためにKademliaを悪用する
KadNapの最も注目すべき革新は、BitTorrentやeMuleなどのテクノロジーでも使用されている分散型ルックアップ用のピアツーピアシステムであるKademlia分散ハッシュテーブル(DHT)プロトコルのカスタム実装です。
このボットネットでは、Kademliaは、感染したデバイスがDHTルックアップを使用してC2エンドポイントを発見し、防御者は一見無害なP2Pトラフィックのようなノイズだけが見え、従来のブロックリストに耐性を持つコマンドアンドコントロール(C2)サーバーの真のIPアドレスを隠すために再利用されています。
この設計により、セキュリティチームがKadNapのインフラストラクチャを列挙してブロックすることがはるかに困難になり、オペレーターにシンクホーリングおよびテイクダウンに対する耐性を与えます。
内部的には、KadNapはこのロジックを実装するために複数のスレッドをスピンアップします。「ピアを検索する」スレッドは、既知のBitTorrentブートストラップノード、NTP導出XORキー、およびハードコードされた文字列のSHA-1ハッシュを使用して、他のKadNap感染ピアに導くカスタムinfohashを作成します。
別の「ピアに接続する」スレッドは、パイプからピアIP:ポートエントリを読み取り、それらに接続し、ハードコードされたキーで応答を復号化し、fwr.sh(ファイアウォールルールを変更する)および.sose(C2設定を格納する)などのさらなる暗号化コマンドトラフィックおよびセカンダリペイロードダウンロード用のAES保護チャネルを確立します。
KadNapはピアツーピアモデルに基づいて構築されていますが、研究者はオペレーターのカスタムKademlia実装に重大な弱点を発見しました。
適切に機能するKademliaネットワークでは、リソースに到達する前の最終ホップは時間とともに変化し、真の分散化を反映します。しかし、2025年8月以降に調査されたすべてのKadNapサンプルは、C2サーバーに到達する前に、同じ2つの最終ノード45.135.180[.]38および45.135.180[.]177に一貫して接続します。
この固定された「ボトルネック」構造は、攻撃者が強力な運用上の制御を維持し、P2Pトラフィックの隠蔽の利益を得るために、長寿命で中央制御されたピアを維持していることを示唆しています。
Doppelgangerプロキシサービスによる金銭化
登録されると、KadNapボットは「Doppelganger」と呼ばれる住宅用プロキシサービスを通じて金銭化されます。これは以前にTheMoonマルウェアによって支援されていたFacelessプラットフォームの直接的な再ブランド化のようです。
被害者は複数の国に分布しており、60%は米国に、台湾、香港、ロシアにそれぞれ5%が位置しています。
Doppelgangerは、これらのハイジャックされたデバイスへのアクセスを高度に匿名の住宅用プロキシとして販売し、サイバー犯罪者が一般家庭ユーザーのIPアドレスの背後に隠れながら、ブルートフォース攻撃、アカウント乗っ取り、標的型搾取を実施できるようにします。
ボットネットのインフラストラクチャがデバイスタイプとモデルによって分割されているため、すべての感染したルーターがすべてのC2サーバーと通信するわけではなく、属性を複雑化させ、悪意のあるアクティビティを特定のキャンペーンにリンクバックすることが難しくなります。
Lumenによれば、KadNapボットネットは1日平均約14,000の異なる感染デバイスで安定化しており、任意の時点で3~4つのアクティブなC2が使用されています。
ネットワーク防御者にとって、このキャンペーンは脆弱なSOHOおよびIoTデバイスのアップデートによってもたらされる増大するリスクと、リモート管理を無効化し、最新のファームウェアアップデートを適用し、強力なルーター資格認証を強制するなどの行動の重要性を強調しています。
Lumenは、バックボーン全体のKadNap制御インフラストラクチャとの間のトラフィックをプロアクティブにブロックし、この脅威を破壊するために広いセキュリティコミュニティを支援するため、公開フィードを通じて危険信号を共有し、インフラストラクチャをDoppelgangerに結びつけるSpurの役割を認識していると報告しています。
翻訳元: https://gbhackers.com/kadnap-malware/
