Kimwolf-IoT-Botnetz stört I2P-Anonymitätsnetzwerk durch massiven Sybil-Angriff

Kimwolf-Botnetz überlastet I2P-Anonymitätsnetzwerk

Seit einer Woche hat das Kimwolf-Botnetz – eine massive, auf IoT basierende Bedrohung, die erstmals Ende 2025 identifiziert wurde – das Invisible Internet Project (I2P), ein dezentrales, verschlüsseltes Netzwerk für anonyme Kommunikation, schwer beeinträchtigt. Die Ausfälle fielen mit den Versuchen der Botnetz-Betreiber zusammen, I2P als Backup-Infrastruktur für Command-and-Control (C2) zu nutzen, um Abschaltmaßnahmen zu umgehen.

Technische Details des Angriffs

Kimwolf, das Millionen schlecht gesicherter IoT-Geräte (darunter Streaming-Boxen, digitale Bilderrahmen und Router) infiziert hat, nutzt I2P, um Resilienz gegen Störungen aufzubauen. Am 3. Februar berichteten I2P-Nutzer von einem plötzlichen Zustrom von Zehntausenden neuer Router, die das Netzwerk überlasteten und zu weitreichenden Verbindungsausfällen führten.

Der Angriff folgte einem Sybil-Angriff-Muster, bei dem eine einzelne Entität (in diesem Fall die Kimwolf-Betreiber) ein Peer-to-Peer-Netzwerk mit pseudonymer Identitäten flutet, um die Leistung zu beeinträchtigen. Laut Lance James, Gründer des Cybersicherheitsunternehmens Unit 221B und früherer I2P-Mitwirkender, besteht das Netzwerk normalerweise aus 15.000–20.000 aktiven Geräten – weit weniger als die 700.000 Kimwolf-infizierten Knoten, die versuchten, beizutreten.

Die Betreiber des Botnetzes diskutierten ihre Aktionen offen in einem Discord-Kanal und gaben zu, dass sie I2P versehentlich gestört hatten, während sie es als C2-Backup testeten. Benjamin Brundage, Gründer von Synthient (einem Startup für Proxy-Tracking), stellte fest, dass Kimwolf auch mit Tor für ähnliche Zwecke experimentiert hat, obwohl keine größeren Störungen von Tor gemeldet wurden.

Auswirkungen auf I2P und allgemeine Sicherheitsbedenken

Der Angriff reduzierte die Betriebsfähigkeit von I2P um etwa 50 %, wobei Nutzer von Verbindungsabbrüchen berichteten, sobald der Netzwerkverkehr 60.000 gleichzeitige Verbindungen überschritt. Obwohl die Hauptfunktion des Botnetzes DDoS-Angriffe sind, zeigt seine jüngste Hinwendung zu Anonymitätsnetzwerken wie I2P und Tor einen wachsenden Trend: Botnetz-Betreiber suchen nach resilienten C2-Kanälen, um Abschaltungen zu umgehen.

Kimwolf hatte zuvor bereits Probleme für Cloudflare verursacht, indem es dessen DNS-Infrastruktur überflutete und dazu führte, dass bösartige Domains kurzzeitig größere Plattformen wie Amazon, Apple, Google und Microsoft in den Cloudflare-Traffic-Rankings überholten.

Aktueller Status und Gegenmaßnahmen

Die I2P-Entwickler arbeiten an einem Stabilitäts-Update, um den normalen Betrieb innerhalb einer Woche wiederherzustellen. Brundage berichtete zudem, dass die Zahl der Kimwolf-Infektionen aufgrund interner Fehlverwaltung um über 600.000 Geräte gesunken ist, was darauf hindeutet, dass den Betreibern möglicherweise die operative Expertise fehlt.

"Sie führen Experimente im Live-Betrieb durch", sagte Brundage. "Das Botnetz schrumpft, und sie scheinen nicht zu wissen, was sie tun."

Für Sicherheitsteams unterstreicht dieser Vorfall die Risiken von IoT-Botnetzen, die Anonymitätsnetzwerke für Resilienz ausnutzen. Die Überwachung von ungewöhnlichem I2P/Tor-Traffic und Sybil-Angriffsmustern kann helfen, ähnliche Bedrohungen frühzeitig zu erkennen.