中国の大手サイバーセキュリティ企業、奇安信(Qianxin)のXラボによると180万台もの感染デバイスで構成されている大規模なAndroidボットネットが観測されたということです。Xラボは、実行時に出力される情報とwolfSSLライブラリを使用していることから、このボットネットをKimwolfと名付けたということです。
中国の奇安信Xラボがレポート
Xラボのレポートによると、Kimwolfボットネットは一般的なDDoS攻撃の機能に加え、プロキシ転送やリバースシェル、ファイル管理機能を統合しているということです。そしてAndroidプラットフォームのTVボックスを標的にしているということです。昨年12月3日から5日までの3日間に累計約270万の異なるIPアドレスが観測され、12月3日には約136万、12月4日には約183万、12月5日には約150万のアクティブIPが観測されたということです。また、主な感染ターゲットは住宅ネットワーク環境に導入されたTVボックスだということです。IPアドレスの観測数がデバイスの数に相当するわけではありませんが、奇安信のXラボはKimwolfに感染しているデバイスの実数は180万台を超えるとの見解を示しています。
また、KimwolfボットネットはAisuruボットネットに関連しているということです。Kimwolfの初期段階のキャンペーンではAisuruのコードが再利用されていたとみられ、その後、セキュリティ製品による検出を回避するためにステルス性を高めるように再設計・開発された痕跡があるということです。Aisuruボットネットは、2024年8月にXラボによって明らかにされたボットネットで、2025年に起きた史上最大規模のDDoS攻撃の背後にあったとみられているIoTボットネットです。奇安信のXラボはKimwolfはAisuruグループに帰属する可能性が高いとの見解を示しています。
住宅用プロキシネットワークを悪用
KimwolfはAndroidプラットフォームを標的にしていて、テレビやセットトップボックス、タブレットなどのデバイスが対象になっているということです。感染したデバイスは世界222の国と地域に分布しており、上位10カ国はブラジル、インド、アメリカ、アルゼンチン、南アフリカ、フィリピン、メキシコ、中国、タイ、サウジアラビアだということです。奇安信のXラボは「Cloudflareが観測したAisuruに起因するとされる多くの攻撃の背後には、Aisuruボットネット単独の活動だけでなく、Kimwolfも関与している、あるいはKimwolfが主導している可能性もある」と指摘、AisuruとKimwolfの2つのボットネットを操っているハッカーは同一との見方を示しています。
さらに不正なトラフィックやボットを監視、追跡しているセキュリティ企業、Synthient(米シアトル)の最近のレポートによると、KimwolfはAisuruボットネットのAndroid版で、住宅用プロキシネットワークを巧妙に悪用することで数か月で少なくとも200万台のデバイスを侵害したということです。また、Kimwolfボットネットに関与している主要なアクターは、アプリのインストロール、住宅用プロシキ帯域幅販売、DDoS機能の販売によってKimwolfボットネットを収益化しているということです。
SynthientはKimwolfボットネットの規模拡大は、個々のデバイスのセキュリティ上の欠陥にとどまらず、住宅用プロキシのサプライチェーン全体におけるシステム的な脆弱性を露呈していると指摘、「低価格の家庭用帯域幅の需要が拡大し続ける限り、組織と個人に対するリスクは高いままです」と警鐘を鳴らしています。
【出典】
https://blog.xlab.qianxin.com/kimwolf-botnet-en/
https://thehackernews.com/2025/12/kimwolf-botnet-hijacks-18-million.html
https://thehackernews.com/2026/01/kimwolf-android-botnet-infects-over-2.html