Badbox 2.0-Botnetz-Betreiber identifiziert: Die Schlüsselakteure hinter der China-verknüpften Cyberbedrohung

Botnetz-Betreiber durch Prahlerei von Cyberkriminellen entlarvt

Cybersecurity-Forscher haben Schlüsselpersonen identifiziert, die wahrscheinlich das Badbox 2.0-Botnetz betreiben – eine aus China stammende Cyberbedrohung, die über 10 Millionen Android-TV-Streaming-Geräte infiziert hat. Der Durchbruch gelang, nachdem Betreiber des Kimwolf-Botnetzes – ein separates, aber ebenso zerstörerisches Malware-Netzwerk – einen Screenshot des Badbox 2.0-Kontrollpanels teilten. Dieser enthüllte unautorisierten Zugriff und legte kritische Details über die Administratoren offen.

Sowohl das FBI als auch Google untersuchen aktiv Badbox 2.0, das schädliche Software auf Android-TV-Boxen vorinstalliert, bevor diese die Verbraucher erreichen. Das Botnetz verbreitet sich zudem über inoffizielle App-Marktplätze und ermöglicht Werbetäuschung (Ad Fraud) sowie Hintertürzugriff (Backdoor Access) auf Heimnetzwerke.

Technische Analyse: Wie Badbox 2.0 funktioniert

Badbox 2.0 ist der Nachfolger der ursprünglichen Badbox-Kampagne, die 2024 zerschlagen wurde. Im Gegensatz zu seinem Vorgänger, der sich hauptsächlich auf Android-TV-Boxen konzentrierte, erweitert Badbox 2.0 seine Reichweite durch:

• Vorinfektion von Geräten vor dem Kauf: Malware wird in die Firmware eingebettet, was Persistenz auch nach Werkseinstellungen gewährleistet.
• Ausnutzung inoffizieller App-Stores: Nutzer laden unwissentlich schädliche Apps während der Einrichtung herunter.
• Ermöglichung groß angelegter Werbetäuschung: Kompromittierte Geräte generieren betrügerische Werbeeinblendungen, was Werbetreibenden Millionenverluste beschert.

Das Kimwolf-Botnetz, das über 2 Millionen Geräte infiziert hat, demonstrierte kürzlich seine Fähigkeit, die Infrastruktur von Badbox 2.0 zu kapern. Die Betreiber von Kimwolf – bekannt unter den Aliasen „Dort“ und „Snow“ – fügten ihre E-Mail (ABCD) zum Kontrollpanel von Badbox 2.0 hinzu, was auf eine mögliche Fusion oder Übernahme der Command-and-Control-Systeme (C2) hindeutet.

Schlüsselpersonen hinter Badbox 2.0

Eine forensische Analyse des Screenshots des Badbox 2.0-Kontrollpanels enthüllte sieben autorisierte Nutzer, darunter:

1. Chen Daihai (陈代海)

   • E-Mail: 34557257@qq.com (Alias: Chen)
   • Verbunden mit Beijing Hong Dake Wang Science & Technology Co Ltd und Moxin Beijing Science and Technology Co. Ltd.
   • Mit Badbox 2.0 verknüpfte Domains: asmeisvip[.]net, moyix[.]com, vmud[.]net.
   • Passwort-Wiederverwendung (cdh76111) verbunden mit cathead@gmail.com und daihaic@gmail.com.

2. Zhu Zhiyu (朱志宇)

   • E-Mail: xavierzhu@qq.com (Alias: Mr.Zhu)
   • Mitgründer von Beijing Astrolink Wireless Digital Technology Co. Ltd.
   • Domain-Registrierungen umfassen astrolink[.]cn, eine weitere mit Badbox 2.0 verknüpfte Domain.

3. Huang Guilin (桂林 黄)

   • E-Mail: 189308024@qq.com (Alias: admin)
   • Verbunden mit guilincloud[.]cn und der Telefonnummer 18681627767.
   • Aktiv in chinesischen sozialen Medien unter dem Nutzernamen h_guilin.

Die verbleibenden vier Nutzer, alle mit qq.com-E-Mail-Adressen, hatten keine klaren Unternehmenszuordnungen und reagierten nicht auf investigative Anfragen.

Auswirkungen und rechtliche Konsequenzen

Die Größe und Raffinesse von Badbox 2.0 birgt erhebliche Risiken:

• Verbraucher-Datenschutz: Kompromittierte Geräte können persönliche Daten wie WLAN-Zugangsdaten und Browserverlauf exfiltrieren.
• Netzwerksicherheit: Infizierte Geräte dienen als Einfallstore für weitere Angriffe auf Heim- oder Unternehmensnetzwerke.
• Finanzieller Betrug: Werbetäuschung leitet Einnahmen von legitimen Werbetreibenden ab.

Im Juli 2025 reichte Google eine „John Doe“-Klage gegen 25 unbekannte Beklagte ein, die beschuldigt werden, Badbox 2.0 gewinnorientiert betrieben zu haben. Das FBI warnte in einem Advisory vom Juni 2025 vor vorinfizierten Geräten und riet Verbrauchern, inoffizielle Android-TV-Boxen zu meiden.

Kimwolfs unautorisierter Zugriff: Ein Wendepunkt

Die Betreiber von Kimwolf nutzten die Infrastruktur von Badbox 2.0 aus, nachdem Residential-Proxy-Anbieter Schwachstellen in ihren Systemen behoben hatten. Laut einer Quelle nahe der Untersuchung:

„Dort erlangte unautorisierten Zugriff auf das Kontrollpanel von Badbox. Da Badbox keine Proxys verkauft, blieb es ungepatcht – was Kimwolf ermöglichte, Malware direkt auf Badbox-infizierte Geräte zu laden.“

Die genaue Methode des Zugriffs bleibt unklar, doch das ABCD-Konto (verknüpft mit Dort) wird voraussichtlich nicht bestehen bleiben, da Ermittler alle Nutzer des Badbox 2.0-Panels über den Vorfall informierten.

Empfehlungen für Sicherheitsteams

1. Geräteprüfung: Identifizieren und entfernen Sie inoffizielle Android-TV-Boxen aus Netzwerken.
2. Firmware-Verifizierung: Stellen Sie sicher, dass Geräte mit hersteller-signierter Firmware betrieben werden, um vorinstallierte Malware zu verhindern.
3. Netzwerksegmentierung: Isolieren Sie IoT-Geräte, um laterale Bewegungen im Falle einer Kompromittierung einzuschränken.
4. Threat Intelligence: Überwachen Sie Domains und IPs, die mit Badbox 2.0 in Verbindung stehen (z. B. asmeisvip[.]net, moyix[.]com).
5. Nutzeraufklärung: Sensibilisieren Sie Mitarbeiter und Verbraucher für die Risiken inoffizieller App-Stores und illegaler Streaming-Dienste.

Fazit

Die Identifizierung von Chen Daihai und Zhu Zhiyu als wahrscheinliche Betreiber von Badbox 2.0 markiert einen entscheidenden Schritt zur Zerschlagung eines der größten Botnetze, das Android-Geräte angreift. Während rechtliche Schritte und technische Gegenmaßnahmen eingeleitet werden, unterstreicht der Vorfall die anhaltende Bedrohung durch Supply-Chain-Angriffe und die Notwendigkeit strengerer Kontrollen in der Herstellung und Verteilung von IoT-Geräten.