研究人员成功阻断550多个Kimwolf和Aisuru僵尸网络服务器

Lumen Technologies公司的Black Lotus Labs团队表示，自2025年10月初以来，他们已成功阻断了与AISURU/Kimwolf僵尸网络相关的550多个命令控制节点的流量。

AISURU及其Android版本Kimwolf已成为近期规模最大的僵尸网络之一，能够指挥被感染设备参与分布式拒绝服务攻击，并为住宅代理服务中继恶意流量。

关于Kimwolf的详细信息在上个月公布，当时奇安信XLab发布了对该恶意软件的详尽分析。该恶意软件主要感染未经授权的Android电视流媒体设备，通过直接投递或通过预装的可疑应用程序来部署名为ByteConnect的软件开发工具包，将受感染设备变成住宅代理。

最终结果是，该僵尸网络通过住宅代理网络隧道技术，感染了超过200万台暴露Android调试桥服务的Android设备，使威胁行为者能够大规模入侵电视盒子设备。

来自Synthient的后续报告显示，Kimwolf运营者试图通过预付现金的方式出售代理带宽。

Black Lotus Labs表示，他们在2025年9月通过分析位于65.108.5[.]46的Aisuru后端命令控制服务器，发现了一组源自多个加拿大IP地址的住宅SSH连接。这些IP地址使用SSH访问194.46.59[.]169，该地址连接到proxy-sdk.14emeliaterracewestroxburyma02132[.]su。

值得注意的是，该二级域名在2025年11月超越了Google，进入Cloudflare前100域名榜单，促使这家网络基础设施公司将其从榜单中移除。

随后，在2025年10月初，该网络安全公司发现了另一个命令控制域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su，该域名解析到104.171.170[.]21，这是一个属于犹他州托管服务提供商Resi Rack LLC的IP地址。该公司自称为"优质游戏服务器托管提供商"。

这个联系至关重要，因为独立安全记者Brian Krebs最近的报告揭示，各种基于僵尸网络的代理服务背后的人员在一个名为resi[.]to的Discord服务器上兜售他们的恶意软件。这也包括Resi Rack的联合创始人，据说他们近两年来一直积极通过Discord销售代理服务。

该服务器现已消失，由一个名为"d"的人拥有（被认为是"Dort"的缩写），而Snow被认为是僵尸网络的主控者。

"10月初，我们观察到Kimwolf在7天内新增僵尸设备数量激增300%，这标志着增长的开始，到月中总数达到80万个僵尸设备，"Black Lotus Labs表示。"这次激增中几乎所有僵尸设备都被发现在一个住宅代理服务上出售。"

随后发现，Kimwolf命令控制架构在2025年10月20日至11月6日期间扫描PYPROXY和其他服务以寻找易受攻击的设备——这种行为可以解释为僵尸网络利用许多代理服务中的安全漏洞，使其能够与住宅代理端点内部网络上的设备交互并投放恶意软件。

这反过来将设备转变为住宅代理节点，使其公共IP地址（由互联网服务提供商分配）被列在住宅代理提供商网站上出租。威胁行为者，如这些僵尸网络背后的人员，然后租用对受感染节点的访问权限，并将其武器化以扫描本地网络中启用ADB模式的设备，进行进一步传播。

"在2025年10月一次成功的阻断操作后，我们观察到greatfirewallisacensorshiptool域名转移到104.171.170[.]201，这是另一个Resi Rack LLC的IP地址，"Black Lotus Labs指出。"随着这个服务器的建立，我们看到与176.65.149[.]19:25565的流量大幅激增，这是一个用于托管其恶意软件的服务器。这发生在Aisuru僵尸网络同时使用的常见ASN上。"

这一披露是在Chawkr报告的背景下进行的，该报告详细描述了一个复杂的代理网络，包含832台受感染的KeeneticOS路由器，在俄罗斯ISP（如Net By Net Holding LLC、VladLink和GorodSamara）上运行。

"所有832台设备上一致的SSH指纹和相同配置表明了自动化大规模利用，无论是利用被盗凭据、嵌入式后门还是路由器固件中的已知安全漏洞，"报告称。"每台受感染的路由器都维护HTTP（端口80）和SSH（端口22）访问。"

鉴于这些受感染的小型办公/家庭办公路由器作为住宅代理节点运行，它们为威胁行为者提供了通过融入正常互联网流量来进行恶意活动的能力。这说明了对手如何越来越多地利用消费者设备作为多阶段攻击的管道。

"与数据中心IP或来自已知托管提供商的地址不同，这些住宅端点在大多数安全供应商信誉列表和威胁情报源的雷达下运行，"Chawkr指出。

"它们的合法住宅分类和清洁的IP信誉允许恶意流量伪装成普通消费者活动，逃避那些会立即标记来自可疑托管基础设施或已知代理服务请求的检测机制。"

Q&A

Q1：Kimwolf和AISURU僵尸网络主要感染什么设备？

A：Kimwolf主要感染未经授权的Android电视流媒体设备和电视盒子，通过利用暴露的Android调试桥服务进行传播。该僵尸网络已感染超过200万台Android设备，将它们变成住宅代理节点。

Q2：Black Lotus Labs是如何发现和阻断这些僵尸网络的？

A：Black Lotus Labs通过分析后端命令控制服务器，发现了源自加拿大IP地址的可疑SSH连接。自2025年10月初以来，他们成功阻断了550多个与AISURU/Kimwolf僵尸网络相关的命令控制节点流量。

Q3：为什么住宅代理网络比普通代理更难检测？

A：住宅代理网络使用真实用户的IP地址，具有合法的住宅分类和清洁的IP信誉，能够将恶意流量伪装成普通消费者活动。这使它们能够逃避大多数安全供应商信誉列表和威胁情报源的检测。