Kimwolf僵尸网络发动大规模Sybil攻击 严重干扰I2P匿名网络

Kimwolf僵尸网络瘫痪I2P匿名网络

在过去的一周，Kimwolf僵尸网络——一个于2025年末首次被发现的大规模IoT威胁——严重干扰了隐形互联网项目（The Invisible Internet Project, I2P），这是一个旨在实现匿名通信的去中心化加密网络。此次网络中断与僵尸网络运营者尝试将I2P用作备用命令与控制（C2）基础设施以躲避打击行动的时间点重合。

攻击的技术细节

Kimwolf僵尸网络已感染了数百万安全防护薄弱的IoT设备，包括流媒体盒子、数字相框和路由器。该僵尸网络一直在利用I2P来增强其对抗打击的韧性。2月3日，I2P用户报告称，网络突然涌入数万个新路由，导致大范围连接故障。

此次攻击采用了Sybil攻击模式，即单一实体（此处为Kimwolf运营者）通过大量伪造身份涌入点对点网络，从而降低网络性能。根据网络安全公司Unit 221B创始人、I2P早期贡献者Lance James的说法，I2P网络通常由15,000至20,000个活跃设备组成，远少于Kimwolf试图加入的700,000个受感染节点。

僵尸网络的运营者在Discord频道中公开讨论了他们的行为，承认在测试I2P作为C2备份时无意中干扰了I2P网络。Synthient（一家代理追踪初创公司）创始人Benjamin Brundage指出，Kimwolf还曾尝试使用Tor网络进行类似操作，但目前尚未报告Tor网络出现重大中断。

对I2P及更广泛安全问题的影响

此次攻击导致I2P的运行能力下降了约50%，用户在网络流量超过60,000个并发连接时报告连接冻结。虽然Kimwolf的主要功能是发动DDoS攻击，但其最近转向利用I2P和Tor等匿名网络，凸显了一个新趋势：僵尸网络运营者寻求具有韧性的C2通道，以躲避打击行动。

Kimwolf此前曾给Cloudflare造成问题，其攻击淹没了Cloudflare的DNS基础设施，导致恶意域名在Cloudflare的流量排名中短暂超越Amazon、Apple、Google和Microsoft等主流平台。

当前状态及缓解措施

I2P开发者正在推出稳定性更新，预计将在一周内恢复正常运行。与此同时，Brundage报告称，由于内部管理不善，Kimwolf的感染设备数量已减少超过600,000台，这表明僵尸网络的运营者可能缺乏运营专业知识。

"他们在生产环境中进行实验，" Brundage表示，「僵尸网络正在萎缩，他们似乎不知道自己在做什么。」

对于安全团队而言，此次事件凸显了IoT僵尸网络利用匿名网络增强韧性的风险。监控异常I2P/Tor流量及Sybil攻击模式有助于及早发现类似威胁。