14 000 рутера, предимно на ASUS, са превзети от KadNap – нова мащабна ботмрежа, използваща домашни устройства като скрити проксита

Изследователи по сигурността разкриха мащабна операция с малуер, която е инфектирала около 14 000 рутера и мрежови устройства, повечето от които произведени от Asus, и ги е превърнала в разпределена прокси мрежа, използвана за киберпрестъпност. Зловредният софтуер, наречен KadNap, е открит от Black Lotus Labs, изследователското звено на Lumen Technologies.

Според анализа KadNap се разпространява чрез незапушени уязвимости в устройствата. Няма индикации за използване на zero‑day експлойти, по‑скоро атакуващите разчитат на добре познати слабости, които много потребители не са коригирали. Първите признаци за активността се появяват през август 2025 г., когато алгоритъм за откриване на подозрителни мрежи засича над 10 000 Asus устройства, комуникиращи с една и съща инфраструктура. Оттогава ботнетът се е стабилизирал около 14 000 активни устройства дневно.

Глобално разпространение и разнообразие от устройства

Над 60% от инфектираните рутери се намират в САЩ, но има засегнати устройства и в Тайван, Хонконг, Русия, Европа и Австралия. Макар Asus да доминира, малуерът е открит и върху други IoT и edge устройства.

Децентрализирана архитектура чрез Kademlia DHT

За разлика от традиционните ботмрежи, KadNap използва peer‑to‑peer архитектура, базирана на Kademlia DHT. Това е технология, позната от BitTorrent, eMule, I2P и Ethereum. Това от сво ястрана прави командната инфраструктура трудна за откриване и блокиране.

Изследователите описват процеса като „верига от приятели“, където всеки възел знае само кой може да ви доближи до целта. Така ботнетът намира командните сървъри, без да разкрива централна точка на контрол.

Как протича инфекцията

След компрометиране на устройството:

• Изтегля се скрипт aic.sh, който създава cron задача за постоянство.
• Скриптът изтегля и стартира ELF изпълним файл, компилиран за ARM или MIPS.
• Малуерът се стартира във фонов режим, скрива вход/изход потоците и определя външния IP на устройството.
• Свързва се с NTP сървъри, за да синхронизира време, което е част от механизма за генериране на ключове.
• Присъединява се към BitTorrent мрежата чрез bootstrap възли и започва да търси други заразени устройства чрез персонализирани DHT заявки.
• След успешен handshake изтегля два файла:
  • fwr.sh – блокира SSH достъп (порт 22) чрез iptables.
  • .sose – съдържа C2 адреси и конфигурация.

Изследователите откриват, че въпреки децентрализацията, заразените устройства почти винаги се свързват с два конкретни възела – 45.135.180[.]38 и 45.135.180[.]177, които вероятно са под контрола на операторите на ботнета.

Какво прави ботнетът?

Чрез сътрудничество със Spur е установено, че KadNap е свързан с услугата Doppelganger, която продава достъп до заразените устройства като „резидентни проксита“. Това позволява на клиенти да пренасочват трафика си през домашни интернет връзки с „чисти“ IP адреси, което улеснява:

• брутфорс атаки
• целенасочени експлойти
• заобикаляне на ограничения

Doppelganger е свързан и с друга подобна услуга – Faceless, която преди е използвала устройства, заразени с малуера TheMoon.

Защита и премахване на инфекцията

Lumen вече блокира трафика към инфраструктурата на KadNap и разпространява IoC индикатори към партньори. За потребителите препоръките са:

• Фабричен reset, което е единственият начин да се премахне KadNap.
• Инсталиране на всички налични firmware обновления.
• Използване на силни администраторски пароли.
• Изключване на remote access, ако не е необходим.
• Проверка на логовете за подозрителни IP адреси и файлове, свързани с KadNap.

Ботнетът остава активен и стабилен, което подчертава колко критично е редовното обновяване на домашните мрежови устройства.