ZURÜCK ZU NACHRICHTEN
ForschungNiedrig

Kimwolf-Botnetz infiziert über 2 Millionen Geräte und dringt in Unternehmens- und Regierungsnetzwerke ein

4 Min. LesezeitQuelle: Krebs on Security
Diagram of Kimwolf botnet infection flow through residential proxies and corporate networks

Das neu entdeckte Kimwolf-Botnetz hat weltweit über 2 Millionen IoT-Geräte kompromittiert und nutzt Wohnproxy-Dienste für Angriffe auf Unternehmen und Behörden. Erfahren Sie, wie es funktioniert und wie Sie sich schützen können.

Kimwolf-Botnetz nutzt Wohnproxy-Dienste zur Infiltration von Unternehmensnetzwerken

Ein neu identifiziertes Internet-of-Things (IoT)-Botnetz, genannt Kimwolf, hat weltweit über 2 Millionen Geräte kompromittiert und infizierte Systeme für Distributed-Denial-of-Service (DDoS)-Angriffe sowie zur Weiterleitung von schädlichem Datenverkehr missbraucht. Untersuchungen zeigen die besorgniserregende Verbreitung des Botnetzes in Unternehmens- und Regierungsnetzwerken, wo es lokale Netzwerkscans nutzt, um sich weiter auszubreiten.

Kimwolf tauchte Ende 2025 auf und breitete sich rasant aus, indem es Wohnproxy-Dienste – insbesondere IPIDEA, einen chinesischen Anbieter mit Millionen von Proxy-Endpunkten – kapert. Angreifer nutzten diese Proxys, um schädliche Befehle an Geräte in lokalen Netzwerken weiterzuleiten und systematisch nach anfälligen IoT-Geräten zu suchen, um diese zu infizieren.

Technische Analyse: Wie Kimwolf funktioniert

  1. Erster Infektionsvektor

    • Kimwolf zielt primär auf inoffizielle Android-TV-Streaming-Boxen ab, die häufig mit vorinstallierter Wohnproxy-Software ausgeliefert werden und keine ausreichenden Sicherheitsmaßnahmen aufweisen.
    • Diese Geräte basieren auf dem Android Open Source Project (AOSP) und nicht auf Android TV OS. Sie werden oft für den Zugriff auf raubkopierte Inhalte vermarktet und enthalten nicht selten Proxy-Malware.
    • Nach der Kompromittierung zwingt Kimwolf die Geräte, schädlichen Datenverkehr weiterzuleiten, darunter Ad-Fraud, Account-Übernahmen und Content-Scraping.

  2. Laterale Ausbreitung durch lokale Netzwerkscans

    • Das Botnetz nutzt Wohnproxy-Endpunkte (z. B. IPIDEA), um interne Netzwerke nach weiteren anfälligen Geräten zu durchsuchen.
    • Infoblox berichtete, dass fast 25 % seiner Unternehmenskunden seit Oktober 2025 eine Kimwolf-bezogene Domain abgefragt haben – ein Indiz für versuchte Scans, auch wenn nicht alle zu erfolgreichen Kompromittierungen führten.
    • Synthient, ein Startup zur Proxy-Überwachung, identifizierte 33.000 betroffene IP-Adressen an Universitäten und 8.000 in Regierungsnetzwerken, darunter US-Behörden und ausländische Institutionen.

  3. Proxy-Dienste als Angriffsvektor

    • Wohnproxys, die zur Anonymisierung von Web-Traffic verkauft werden, sind häufig in schädlichen Apps oder Spielen gebündelt. Infizierte Geräte werden so zu unfreiwilligen Relays für schädlichen Datenverkehr.
    • Spur, ein weiteres Unternehmen zur Proxy-Überwachung, fand Kimwolf-assoziierte Proxys in:
      • 298 Regierungsnetzwerken (inkl. Systemen des US-Verteidigungsministeriums)
      • 318 Versorgungsunternehmen
      • 166 Gesundheitsorganisationen
      • 141 Finanzinstituten
    • Angreifer können von einem einzigen infizierten Gerät aus andere Systeme im selben Netzwerk sondieren und so einen ersten Zugang zu Unternehmensumgebungen erlangen.

Auswirkungen und Risiken

  • DDoS und Verstärkung schädlichen Datenverkehrs: Die Größe von Kimwolf ermöglicht großflächige DDoS-Angriffe, die Dienste und Infrastruktur stören können.
  • Infiltration von Unternehmens- und Regierungsnetzwerken: Die Präsenz des Botnetzes in Unternehmensnetzwerken wirft Fragen zu Datenexfiltration, Spionage und weiterer lateraler Ausbreitung auf.
  • Lieferketten-Schwachstellen: Unsichere Android-TV-Boxen mit vorinstallierter Proxy-Malware verdeutlichen die Risiken von Consumer-IoT-Geräten, die in Unternehmensumgebungen gelangen.
  • Missbrauch von Proxys für Cyberkriminalität: Wohnproxys bleiben ein lukratives Werkzeug für Bedrohungsakteure, um Angriffe zu anonymisieren und Betrug zu ermöglichen.

Empfehlungen zur Eindämmung und Abwehr

Sicherheitsteams sollten folgende Maßnahmen ergreifen, um Kimwolf-Infektionen zu erkennen und zu bekämpfen:

  1. Netzwerküberwachung und DNS-Filterung

    • Blockieren Sie bekannte Kimwolf-bezogene Domains und Wohnproxy-IPs (z. B. IPIDEA-Endpunkte).
    • Überwachen Sie ungewöhnlichen ausgehenden Datenverkehr von IoT-Geräten, insbesondere Android-TV-Boxen.

  2. Härtung von Geräten

    • Deaktivieren oder entfernen Sie inoffizielle Android-TV-Boxen aus Unternehmensnetzwerken.
    • Stellen Sie sicher, dass alle IoT-Geräte gepatcht, segmentiert und authentifiziert sind, bevor sie Netzwerkzugriff erhalten.

  3. Prüfung von Proxy-Diensten

    • Scannen Sie nach nicht autorisierter Proxy-Software auf Mitarbeitergeräten (Laptops, Smartphones), die möglicherweise durch schädliche Apps infiziert wurden.
    • Beschränken Sie Wohnproxy-Datenverkehr auf Firewall-Ebene.

  4. Austausch von Bedrohungsinformationen

    • Nutzen Sie Berichte von Infoblox, Synthient und Spur, um Kimwolf-assoziierte Infrastruktur zu identifizieren und zu blockieren.

  5. Incident-Response-Planung

    • Gehen Sie bei einer Kimwolf-Infektion von lateraler Ausbreitung aus und isolieren Sie betroffene Netzwerksegmente umgehend.

Fazit

Kimwolf stellt eine bedeutende Weiterentwicklung von IoT-Botnetzen dar, die Wohnproxys für die heimliche Infiltration von Unternehmens- und Regierungsnetzwerken nutzt. Seine Fähigkeit, lokale Geräte zu scannen und zu kompromittieren, macht es zu einer anhaltenden Bedrohung, insbesondere in Umgebungen mit unsicheren IoT-Implementierungen. Organisationen müssen Überwachung, Segmentierung und Proxy-Kontrollen verstärken, um Risiken durch dieses und ähnliche Botnetze zu minimieren.

Weiterführende Links:

Teilen

TwitterLinkedIn