2026年1月8日
Kimwolf殭屍網絡的擴散
2026年的首篇報導揭示了一個破壞性的新型殭屍網絡Kimwolf,該網絡透過大規模攻陷大量非官方的Android TV串流盒子,感染了超過兩百萬台設備。今天,我們將深入分析黑客、網絡運營商和其他從Kimwolf擴散中獲益的服務。
2025年12月17日,中國安全公司XLab發布了一份詳細報告,揭示Kimwolf如何強制感染設備參與分散式阻斷服務(DDoS)攻擊,並透過所謂的“住宅代理”服務轉發惡意互聯網流量。
Kimwolf的攻擊目標和影響
這種將設備變成住宅代理的軟體通常會安靜地捆綁在手機應用和遊戲中。Kimwolf特別針對預裝在超過一千種不同型號的未授權Android TV串流設備上的住宅代理軟體。很快,這些住宅代理的網路地址開始導向與廣告欺詐、賬號接管嘗試和大規模內容抓取相關的流量。
Aisuru和Kimwolf的聯繫
XLab的報告中指出,研究人員發現“確鑿證據”表明,同一批網絡犯罪分子和基礎設施被用來部署Kimwolf和其較早版本Aisuru殭屍網絡,兩者都將設備奴役用於DDoS攻擊和代理服務。
自2025年10月以來,XLab懷疑Kimwolf和Aisuru是由相同的作者運營,這部分是基於隨時間變化的共享代碼變更。但這些懷疑在12月8日得到了證實,當時觀察到兩種殭屍網絡在同一個網路地址93.95.112[.]59上被分發。
公共記錄與Resi Rack的關聯
公共記錄顯示,XLab標記的網路地址範圍被分配給位於猶他州Lehi的Resi Rack LLC。Resi Rack的網站將公司定位為“高級遊戲伺服器託管提供商”。同時,Resi Rack在互聯網賺錢論壇BlackHatWorld上的廣告將其稱為“高級住宅代理託管和代理軟體解決方案公司”。
Resi Rack的聯合創始人Cassidy Hales告訴KrebsOnSecurity,他的公司在12月10日收到關於Kimwolf使用其網絡的通知,詳細說明了一位客戶租用其伺服器的情況。
“收到這封電子郵件後,我們立即處理了這個問題,”Hales在回覆請求評論的電子郵件中寫道。“我們非常失望,這件事現在與我們的名字聯繫在一起,這絕不是我們公司的意圖。”
Discord社群中的活動
由XLab在12月8日標記的Resi Rack互聯網地址在此之前兩週就進入了KrebsOnSecurity的視野。Synthient創始人Benjamin Brundage分享了受益於Aisuru和Kimwolf殭屍網絡的代理服務銷售者在一個新的Discord服務器resi[.]to上的活動。
2025年11月24日,resi-dot-to的Discord頻道的一名成員分享了一個透過感染Kimwolf殭屍網絡的Android TV串流盒子代理流量的IP地址。
當KrebsOnSecurity在10月底以潛伏者身份加入resi[.]to的Discord頻道時,該服務器的成員不到150人,其中包括Resi Rack的聯合創始人“Shox”以及他的商業夥伴“Linus”,後者沒有對評論請求作出回應。
其他resi[.]to頻道的成員會定期發布新的IP地址,這些地址負責透過Kimwolf殭屍網絡代理流量。如resi[.]to的截圖所示,XLab標記的Resi Rack互聯網地址早在11月24日就被Kimwolf用來指導代理流量,甚至更早。Synthient表示,從2025年10月至12月,它至少追蹤到七個與Kimwolf代理基礎設施相關的靜態Resi Rack IP地址。
Resi Rack的兩位聯合創始人都未對後續問題作出回應。