Cybersecurity-onderzoekers hebben een nieuwe malware ontdekt, genaamd KadNap dat is voornamelijk gericht op Asus-routers om ze in een botnet te betrekken voor het proxyen van kwaadaardig verkeer.
De malware, die in augustus 2025 voor het eerst in het wild werd ontdekt, heeft zich volgens het Black Lotus Labs-team van Lumen uitgebreid tot meer dan 14.000 geïnfecteerde apparaten, waarbij meer dan 60% van de slachtoffers zich in de VS bevindt. Een kleiner aantal infecties is vastgesteld in Taiwan, Hong Kong, Rusland, het Verenigd Koninkrijk, Australië, Brazilië, Frankrijk, Italië en Spanje.
“KadNap maakt gebruik van een aangepaste versie van het Kademlia Distributed Hash Table (DHT)-protocol, dat wordt gebruikt om het IP-adres van hun infrastructuur binnen een peer-to-peer-systeem te verbergen om traditionele netwerkmonitoring te omzeilen”, aldus het cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News.
Gecompromitteerde knooppunten in het netwerk maken gebruik van het DHT-protocol om een command-and-control (C2)-server te lokaliseren en er verbinding mee te maken, waardoor deze bestand is tegen detectie- en verstoringsinspanningen.
Zodra apparaten met succes zijn gehackt, worden ze op de markt gebracht door een proxyservice genaamd Doppelgänger (“doppelganger(.)shop”), die wordt beschouwd als een rebranding van Faceless, een andere proxyservice die verband houdt met TheMoon-malware. Doppelgänger beweert volgens zijn website in meer dan 50 landen proxy’s aan te bieden die “100% anonimiteit” bieden. De dienst zou in mei/juni 2025 gelanceerd zijn.
Ondanks de focus op Asus-routers blijken de operators van KadNap de malware in te zetten tegen een breed scala aan edge-netwerkapparaten.
Centraal in de aanval staat een shellscript (“aic.sh”) dat wordt gedownload van de C2-server (“212.104.141(.)140”), dat verantwoordelijk is voor het initiëren van het proces van het in dienst nemen van het slachtoffer bij het P2P-netwerk. Het bestand maakt een cron-taak om het shell-script van de server op te halen na 55 minuten van elk uur, hernoem het naar “.asusrouter” en voer het uit.
Zodra persistentie tot stand is gebracht, haalt het script een kwaadaardig ELF-bestand op, hernoemt het naar “kad” en voert het uit. Dit leidt weer tot de inzet van KadNap. De malware kan zich richten op apparaten met zowel ARM- als MIPS-processors.
KadNap is ook ontworpen om verbinding te maken met een Network Time Protocol (NTP)-server om de huidige tijd op te halen en samen met de uptime van de host op te slaan. Deze informatie dient als basis voor het creëren van een hash die wordt gebruikt om andere peers in het gedecentraliseerde netwerk te lokaliseren om opdrachten te ontvangen of extra bestanden te downloaden.
De bestanden – fwr.sh en /tmp/.sose – bevatten functionaliteit om poort 22, de standaard TCP-poort voor Secure Shell (SSH), op het geïnfecteerde apparaat te sluiten en een lijst met C2 IP-adres:poort-combinaties uit te pakken waarmee verbinding kan worden gemaakt.
“Kortom, het innovatieve gebruik van het DHT-protocol zorgt ervoor dat de malware robuuste communicatiekanalen tot stand kan brengen die moeilijk te verstoren zijn, door zich te verstoppen in de ruis van legitiem peer-to-peer-verkeer”, aldus Lumen.
Verdere analyse heeft uitgewezen dat niet alle gecompromitteerde apparaten met elke C2-server communiceren, wat aangeeft dat de infrastructuur wordt gecategoriseerd op basis van apparaattype en -modellen.
Het Black Lotus Labs-team vertelde The Hacker News dat de bots van Doppelgänger worden misbruikt door bedreigingsactoren in het wild. “Er is één probleem omdat deze Asus (en andere apparaten) soms ook samen met andere malware zijn geïnfecteerd. Het is lastig te zeggen wie precies verantwoordelijk is voor een specifieke kwaadaardige activiteit”, aldus het bedrijf.
Gebruikers met SOHO-routers wordt geadviseerd om hun apparaten up-to-date te houden, ze regelmatig opnieuw op te starten, standaardwachtwoorden te wijzigen, beheerinterfaces te beveiligen en modellen te vervangen die het einde van hun levensduur hebben en niet langer worden ondersteund.
“Het KadNap-botnet onderscheidt zich onder andere doordat het anonieme proxy’s ondersteunt bij het gebruik van een peer-to-peer-netwerk voor gedecentraliseerde controle”, concludeert Lumen. “Hun bedoeling is duidelijk: vermijd detectie en maak het moeilijk voor verdedigers om zich ertegen te beschermen.”
Nieuwe Linux-bedreiging ClipXDaemon duikt op
De onthulling komt op het moment dat Cyble een nieuwe Linux-dreiging met de naam ClipXDaemon heeft beschreven, die is ontworpen om gebruikers van cryptocurrency te targeten door gekopieerde portemonnee-adressen te onderscheppen en te wijzigen. De clipper-malware, geleverd via een Linux-post-exploitatieframework genaamd ShadowHS, is beschreven als een autonome klembordkaper voor cryptocurrency die zich richt op Linux X11-omgevingen.
De malware wordt volledig in het geheugen opgevoerd en maakt gebruik van stealth-technieken, zoals procesmaskering en het vermijden van Wayland-sessies, terwijl tegelijkertijd het klembord elke 200 milliseconden wordt gemonitord en cryptocurrency-adressen worden vervangen door door de aanvaller gecontroleerde portemonnees. Het kan zich richten op Bitcoin-, Ethereum-, Litecoin-, Monero-, Tron-, Dogecoin-, Ripple- en TON-portefeuilles.
De beslissing om uitvoering in Wayland-sessies te vermijden is bewust, omdat de beveiligingsarchitectuur van het displayserverprotocol extra controles plaatst, zoals het vereisen van expliciete gebruikersinteractie, voordat applicaties toegang krijgen tot de inhoud van het klembord. Door zichzelf in dergelijke scenario’s uit te schakelen, probeert de malware ruis te elimineren en runtime-fouten te voorkomen.
“ClipXDaemon verschilt fundamenteel van traditionele Linux-malware. Het bevat geen command-and-control (C2)-logica, voert geen beaconing uit en vereist geen taken op afstand”, aldus het bedrijf. “In plaats daarvan genereert het rechtstreeks inkomsten voor de slachtoffers door cryptocurrency-portemonnee-adressen te kapen die in X11-sessies zijn gekopieerd en deze in realtime te vervangen door door de aanvaller gecontroleerde adressen.”
