Новиот KadNap ботнет ги компромитира ASUS рутерите за создавање мрежа од прокси сервери за сајбер-криминал

Новооткриен ботнет малвер наречен KadNap таргетира ASUS рутери и други edge мрежни уреди со цел да ги претвори во прокси сервери за малициозен интернет сообраќај.

Од август 2025 година, KadNap пораснал на околу 14.000 уреди кои се дел од peer-to-peer мрежа и се поврзуваат со command-and-control (C2) инфраструктурата преку специјално модифицирана верзија на **Kademlia Distributed Hash Table (DHT) протоколот.

Ова го прави идентификувањето и попречувањето на C2 серверите многу потешко, бидејќи информациите се децентрализирани, а секој јазол во мрежата управува со дел од вкупните податоци.

Според истражувачите од Black Lotus Labs, истражувачкиот оддел за закани на Lumen Technologies, речиси половина од KadNap мрежата е поврзана со C2 инфраструктура посветена на ботови базирани на ASUS рутери, додека останатите комуницираат со два одделни контролни сервери.

Поголемиот дел од заразените уреди се наоѓаат во United States, кои сочинуваат околу 60% од вкупниот број, по што следуваат значајни проценти во Taiwan, Hong Kong и Russia.

Комуникација базирана на Kademlia

Инфекцијата со KadNap започнува со преземање на малициозен скрипт (aic.sh) од IP адресата 212.104.141[.]140, кој воспоставува перзистентност преку cron задача што се извршува на секои 55 минути.

Главниот payload е ELF бинарна датотека наречена kad, која го инсталира KadNap клиентот.

Откако ќе се активира, малверот:

• ја утврдува надворешната IP адреса на хостот
• контактира повеќе Network Time Protocol (NTP) сервери за да го добие тековното време и времето на работа на системот (uptime).

За да го избегне откривањето и да биде отпорен на takedown операции, KadNap користи модифицирана Kademlia-базирана DHT протокол за да ги лоцира јазлите на ботнетот и C2 инфраструктурата.

„KadNap користи специјална верзија на Kademlia Distributed Hash Table (DHT) протоколот, кој се користи за сокривање на IP адресата на нивната инфраструктура во peer-to-peer систем, со цел да се избегне традиционалното следење на мрежата,“ објаснуваат истражувачите.

„Заразените уреди го користат DHT протоколот за да го лоцираат и да се поврзат со command-and-control (C2) серверот, додека одбранбените тимови не можат лесно да ги пронајдат овие C2 сервери и да ги додаваат на листите со закани.“

Истражувачите откриле дека имплементацијата на Kademlia од страна на KadNap е подриена од конзистентната врска со две специфични јазли, која се воспоставува пред да се достигнат C2 серверите. Ова ја намалува децентрализацијата што протоколот би можел да ја постигне во идеални услови и овозможува идентификација на контролната инфраструктура.

Монетизација на KadNap

Истражувачите од Black Lotus Labs велат дека ботнетот KadNap е поврзан со Doppelganger proxy сервисот, кој се смета дека е ре-бренд на Faceless сервисот, претходно поврзан со TheMoon малвер ботнетот, кој исто така таргетирал ASUS рутери.

Doppelganger продава пристап до заразени уреди како residential прокси сервери, кои можат да се користат за:

• пренасочување на малициозен сообраќај
• создавање на слоеви за псевдонимизација
• избегнување на blocklist-и.

Бидејќи овие услуги обично се користат за лансирање на distributed denial-of-service (DDoS) напади, credential stuffing, и brute-force напади, сите тие првично таргетираат жртви на KadNap.

Компанијата Lumen Technologies презеде превентивни мерки против KadNap ботнетот. Според компанијата, во моментот на објавување на овој извештај, таа „го блокираше целокупниот мрежен сообраќај кон и од контролната инфраструктура.“

Овој прекин важи само за мрежата на Lumen, а листа на индикатори на компромитирање (IoCs) ќе биде објавена за да им помогне на други организации да го попречат ботнетот на нивните мрежи.

Извори:

• Bleeping Computer – New KadNap botnet hijacks ASUS routers to fuel cybercrime proxy network Bleeping Computer