Het Black Lotus Labs-team van Lumen Technologies zei dat het sinds begin oktober 2025 verkeer naar meer dan 550 command-and-control (C2)-knooppunten heeft geleid die verband houden met het AISURU/Kimwolf-botnet.
AISURU en zijn Android-tegenhanger, Kimwolf, zijn de afgelopen tijd uitgegroeid tot enkele van de grootste botnets, die in staat zijn om tot slaaf gemaakte apparaten te laten deelnemen aan gedistribueerde denial-of-service (DDoS)-aanvallen en kwaadaardig verkeer door te sturen naar residentiële proxydiensten.
Details over Kimwolf kwamen vorige maand naar voren toen QiAnXin XLab een uitgebreide analyse van de malware publiceerde, die gecompromitteerde apparaten – meestal niet-goedgekeurde Android TV-streamingapparaten – in een residentiële proxy verandert door een softwareontwikkelingskit (SDK) genaamd ByteConnect te leveren, hetzij rechtstreeks, hetzij via schetsmatige apps die er vooraf op zijn geïnstalleerd.
Het netto resultaat is dat het botnet zich heeft uitgebreid en meer dan 2 miljoen Android-apparaten heeft geïnfecteerd met een blootgestelde Android Debug Bridge (ADB)-service door te tunnelen via residentiële proxynetwerken, waardoor de bedreigingsactoren een groot aantal tv-boxen kunnen compromitteren.
Een volgend rapport van Synthient heeft onthuld dat Kimwolf-acteurs proberen proxy-bandbreedte te ontlasten in ruil voor contant geld vooraf.
Black Lotus Labs zei dat het in september 2025 een groep residentiële SSH-verbindingen identificeerde die afkomstig waren van meerdere Canadese IP-adressen op basis van de analyse van backend C2 voor Aisuru op 65.108.5(.)46, waarbij de IP-adressen SSH gebruikten om toegang te krijgen tot 194.46.59(.)169, welke proxy-sdk.14emeliaterracewestroxburyma02132(.)su.
Het is vermeldenswaard dat het domein op het tweede niveau Google in november 2025 overtrof in Cloudflare’s lijst van top 100 domeinen, wat het webinfrastructuurbedrijf ertoe aanzette het uit de lijst te schrappen.
Vervolgens zei het cyberbeveiligingsbedrijf begin oktober 2025 dat het een ander C2-domein had geïdentificeerd – greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132(.)su – dat werd omgezet in 104.171.170(.)21, een IP-adres van de in Utah gevestigde hostingprovider Resi Rack LLC. Het bedrijf adverteert zichzelf als een ‘Premium Game Server Hosting Provider’.
Deze link is cruciaal, aangezien een recent rapport van de onafhankelijke beveiligingsjournalist Brian Krebs onthulde hoe mensen achter verschillende proxydiensten gebaseerd op de botnets hun warez aan het verkopen waren op een Discord-server genaamd resi(.)to. Hieronder vallen ook de medeoprichters van Resi Rack, die naar verluidt al bijna twee jaar actief bezig zijn met het verkopen van proxydiensten via Discord.
De server, die inmiddels is verdwenen, was eigendom van iemand met de naam “d” (vermoedelijk een afkorting voor de handle “Dort”), waarbij Snow vermoedelijk de botmaster was.
“Begin oktober zagen we een stijging van 300% in het aantal nieuwe bots dat aan Kimwolf werd toegevoegd gedurende een periode van zeven dagen, wat het begin was van een stijging die halverwege de maand een totaal van 800.000 bots bereikte”, aldus Black Lotus Labs. “Bijna alle bots in deze golf werden te koop aangeboden op een enkele residentiële proxy-service.”
Vervolgens bleek de Kimwolf C2-architectuur PYPROXY en andere services te scannen op kwetsbare apparaten tussen 20 oktober 2025 en 6 november 2025 – een gedrag dat wordt verklaard door de exploitatie door het botnet van een beveiligingsfout in veel proxyservices die het mogelijk maakte om te communiceren met apparaten op de interne netwerken van residentiële proxy-eindpunten en de malware te laten vallen.
Dit verandert het apparaat op zijn beurt in een residentieel proxyknooppunt, waardoor het openbare IP-adres (toegewezen door de internetprovider) te huur wordt aangeboden op de site van een residentiële proxyprovider. Bedreigingsactoren, zoals degenen achter deze botnets, leasen vervolgens toegang tot het geïnfecteerde knooppunt en bewapenen het om het lokale netwerk te scannen op apparaten waarvoor de ADB-modus is ingeschakeld voor verdere verspreiding.
“Na één succesvolle nulroute (in oktober 2025) zagen we het domein van de grote firewalliscensorshiptool verhuizen naar 104.171.170(.)201, een ander Resi Rack LLC IP”, merkte Black Lotus Labs op. “Toen deze server opkwam, zagen we een grote verkeerspiek met 176.65.149(.)19:25565, een server die werd gebruikt om hun malware te hosten. Dit was op een gemeenschappelijke ASN die tegelijkertijd door het Aisuru-botnet werd gebruikt.”
De onthulling komt tegen de achtergrond van een rapport van Chawkr waarin een geavanceerd proxynetwerk werd beschreven met 832 gecompromitteerde KeeneticOS-routers die actief zijn bij Russische ISP’s, zoals Net By Net Holding LLC, VladLink en GorodSamara.
“De consistente SSH-vingerafdrukken en identieke configuraties op alle 832 apparaten wijzen in de richting van geautomatiseerde massa-uitbuiting, of het nu gaat om het gebruik van gestolen inloggegevens, ingebedde achterdeuren of bekende beveiligingsfouten in de routerfirmware”, aldus het rapport. “Elke gecompromitteerde router behoudt zowel HTTP (poort 80) als SSH (poort 22) toegang.”
Aangezien deze gecompromitteerde SOHO-routers functioneren als residentiële proxyknooppunten, bieden ze bedreigingsactoren de mogelijkheid om kwaadaardige activiteiten uit te voeren door op te gaan in het normale internetverkeer. Dit illustreert hoe tegenstanders steeds meer gebruik maken van consumentenapparatuur als kanalen voor aanvallen in meerdere fasen.
“In tegenstelling tot datacenter-IP’s of adressen van bekende hostingproviders, opereren deze residentiële eindpunten onder de radar van de meeste reputatielijsten van beveiligingsleveranciers en feeds met bedreigingsinformatie”, aldus Chawkr.
“Hun legitieme residentiële classificatie en zuivere IP-reputatie zorgen ervoor dat kwaadaardig verkeer zich kan voordoen als gewone consumentenactiviteit, waardoor detectiemechanismen worden omzeild die verzoeken die afkomstig zijn van verdachte hostinginfrastructuur of bekende proxydiensten onmiddellijk zouden markeren.”
