Secondo le recenti scoperte dei ricercatori di QiAnXin XLab, una colossale botnet denominata Kimwolf ha arruolato silenziosamente un esercito di quasi 2 milioni di dispositivi infetti.
Non si tratta dei soliti computer o server, bensì di apparecchi di uso quotidiano presenti nei salotti di tutto il mondo: smart TV basate su Android, set-top box e tablet.
La portata di questa infrastruttura malevola è tale che, per un breve periodo, uno dei suoi domini di comando e controllo ha generato più traffico del gigante tecnologico Google.
L’ascesa della botnet Kimwolf e il sorpasso su Google
L’analisi condotta dagli esperti di sicurezza ha rivelato numeri impressionanti che testimoniano la scala enorme di questa operazione. In un arco temporale di soli tre giorni, compreso tra il 19 e il 22 novembre 2025, la botnet Kimwolf ha emesso la cifra astronomica di 1,7 miliardi di comandi di attacco Distributed Denial-of-Service (DDoS).
È stato proprio in questo frangente che si è verificata un’anomalia statistica che ha fatto scattare l’allarme. Uno dei domini utilizzati per gestire la rete, una stringa complessa registrata come “14emeliaterracewestroxburyma02132[.]su“, ha scalato la classifica dei primi 100 domini più attivi su Cloudflare, arrivando persino a superare Google per volume di traffico.
I dispositivi presi di mira sono principalmente box TV distribuiti in ambienti di rete residenziali. Tra i modelli compromessi figurano dispositivi molto diffusi come SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV e MX10. L’infezione ha una portata globale, con concentrazioni particolarmente elevate registrate in Brasile, India, Stati Uniti, Argentina, Sud Africa e Filippine, sebbene il vettore di infezione iniziale rimanga ancora avvolto nel mistero.
Legami con AISURU e sofisticazione tecnica
Le indagini di XLab suggeriscono che Kimwolf non sia un’entità isolata, ma strettamente collegata a un’altra famigerata botnet nota come AISURU, responsabile di alcuni degli attacchi DDoS più violenti dell’ultimo anno.
Gli attaccanti sembrano aver riutilizzato porzioni di codice di AISURU nelle fasi iniziali, per poi sviluppare Kimwolf come un’evoluzione più furtiva e potente. Le due botnet hanno convissuto negli stessi lotti di dispositivi infetti tra settembre e novembre, condividendo script di infezione e persino certificati di firma del codice, portando gli analisti a concludere che dietro entrambe le operazioni vi sia lo stesso gruppo di hacker.
Dal punto di vista tecnico, il malware è stato compilato utilizzando il Native Development Kit (NDK) di Android, il che gli conferisce prestazioni elevate. Oltre alle tipiche capacità di attacco DDoS, il software integra funzioni avanzate di proxy forwarding, reverse shell e gestione file.
Una volta lanciato, il malware si assicura di essere l’unica istanza in esecuzione, decifra il dominio di controllo incorporato e utilizza protocolli sicuri come DNS-over-TLS per connettersi ai server e ricevere ordini, rendendo il traffico difficile da intercettare.
Blockchain e “EtherHiding”
Ciò che rende Kimwolf particolarmente insidiosa è la sua capacità di adattamento. Dopo che i suoi domini di controllo sono stati abbattuti più volte nel mese di dicembre da parti sconosciute, gli operatori della botnet hanno implementato una tecnica nota come EtherHiding.
Invece di affidarsi a domini tradizionali facilmente oscurabili, il malware ha iniziato a utilizzare l’Ethereum Name Service (ENS).
Le versioni più recenti del malware interrogano un dominio ENS (“pawsatyou[.]eth“) per recuperare l’indirizzo IP del server di comando direttamente da uno smart contract sulla blockchain.
Attraverso un complesso processo di estrazione e decifrazione dei dati contenuti nelle transazioni Ethereum, la botnet riesce a mantenere operativa la propria infrastruttura rendendola estremamente resistente ai tentativi di takedown da parte delle autorità o delle società di sicurezza.
Il business della banda larga: oltre gli attacchi DDoS
Sebbene la capacità di lanciare attacchi DDoS sia formidabile, l’obiettivo primario di Kimwolf sembra essere economico e legato allo sfruttamento della banda larga delle vittime. L’analisi dei comandi inviati ai dispositivi infetti ha rivelato che oltre il 96% delle istruzioni riguarda l’utilizzo dei nodi bot per fornire servizi proxy.
In sostanza, gli attaccanti stanno vendendo l’accesso alle connessioni internet residenziali degli utenti ignari, massimizzando i profitti attraverso moduli come il “ByteConnect SDK“, una soluzione che permette la monetizzazione del traffico.
Questo scenario segna un’evoluzione preoccupante nel mondo delle botnet. Se nel 2016 la famosa Mirai aveva preso di mira router e telecamere IP, oggi l’attenzione dei criminali informatici si è spostata decisamente verso le Smart TV e i box Android.
Questi dispositivi, spesso dotati di hardware potente e connessioni veloci, ma raramente protetti da software di sicurezza adeguati, rappresentano la nuova frontiera per la creazione di reti zombie globali.
