Над 14 000 компрометирани устройства използват P2P инфраструктура за управление

Изследователи по киберсигурност откриха нов ботнет малуер, наречен KadNap, който компрометира ASUS рутери и други edge мрежови устройства, превръщайки ги в прокси инфраструктура за злонамерен трафик.

Според анализ на Black Lotus Labs, изследователското звено на Lumen Technologies, ботнетът е активен поне от август 2025 г. и вече включва над 14 000 заразени устройства, организирани в peer-to-peer мрежа.

В резюме

• KadNap ботнетът компрометира предимно ASUS рутери и edge устройства.

• Инфекцията е засегнала над 14 000 устройства по света.

• Малуерът използва модифициран Kademlia DHT протокол за скриване на C2 инфраструктурата.

• Компрометираните устройства се продават като резидентни проксита за киберпрестъпни услуги.

Географско разпространение

Анализът показва, че най-много заразени устройства се намират в:

• Съединените щати – около 60% от всички жертви

• Тайван

• Хонконг

• Русия

• EC

Приблизително половината от KadNap мрежата комуникира с C2 инфраструктура, специално предназначена за ASUS устройства, докато останалите възли използват два отделни контролни сървъра.

Как работи инфекцията

Инфекцията започва със сваляне на злонамерен shell скрипт с име aic.sh.

Скриптът:

1. Създава cron задача, която се изпълнява на всеки 55 минути.

2. Изтегля ELF бинарен файл с име kad.

3. Инсталира KadNap клиента, който свързва устройството към ботнета.

След активиране малуерът:

• определя външния IP адрес на устройството

• прави заявки към NTP сървъри, за да синхронизира време и uptime

• започва комуникация с други възли в ботнет мрежата

P2P инфраструктура с Kademlia

KadNap използва модифицирана версия на Kademlia Distributed Hash Table.

Този протокол позволява:

• децентрализирано съхранение на информация

• откриване на други възли в мрежата

• скриване на command-and-control (C2) сървърите

Вместо централизиран контролен сървър, всеки възел съхранява част от информацията, което значително усложнява:

• идентифицирането на инфраструктурата

• блокирането на ботнета

Изследователите обаче откриват слабост в имплементацията – всички заразени устройства първо се свързват към два конкретни възела, преди да достигнат до C2 сървърите. Това намалява нивото на децентрализация и позволява частично разкриване на инфраструктурата.

Монетизация на ботнета

Според анализа KadNap е свързан с прокси услугата Doppelganger, която вероятно представлява ребрандирана версия на Faceless – услуга, свързвана в миналото с ботнета TheMoon malware.

Doppelganger продава достъп до компрометираните устройства като резидентни проксита, които могат да се използват за:

• DDoS атаки

• credential stuffing

• brute-force атаки

• скриване на източника на злонамерен трафик

• заобикаляне на блокиращи списъци

Така заразените рутери се превръщат в инфраструктура за киберпрестъпни операции.

Опити за блокиране на ботнета

Lumen Technologies вече предприема мерки за ограничаване на ботнета.

Компанията съобщава, че е блокирала целия мрежов трафик към и от KadNap C2 инфраструктурата в собствената си мрежа.

Въпреки това защитата е ефективна само в рамките на инфраструктурата на Lumen.

Очаква се да бъде публикуван списък с индикатори за компрометиране (IoC), който ще позволи на други доставчици и организации да предприемат аналогични мерки.

KadNap демонстрира нарастващата тенденция ботнетите да използват peer-to-peer архитектури, които правят тяхното откриване и неутрализиране значително по-трудно.

Компрометирането на домашни и малки офис рутери остава сериозен риск, тъй като тези устройства често:

• не получават редовни актуализации

• използват слаби пароли

• са изложени директно в интернет

Това ги превръща в лесна цел за изграждане на глобални прокси мрежи за киберпрестъпления.