Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La botnet Kimwolf rappresenta una delle più insidiose minacce IoT emerse di recente.
Secondo le analisi più aggiornate, questa infrastruttura malevola ha già compromesso oltre due milioni di dispositivi, sfruttandoli per attacchi distribuiti di negazione del servizio e come nodi intermedi per traffico abusivo. Il suo vero punto di forza, però, non è il volume, ma la capacità di insinuarsi all’interno di reti che non erano mai state pensate come terreno fertile per una botnet IoT.
Kimwolf non si limita a controllare dispositivi isolati. Una volta ottenuto l’accesso, il malware scansiona attivamente la rete locale alla ricerca di altri sistemi vulnerabili. Questo comportamento consente agli operatori di espandere l’infezione lateralmente, trasformando un singolo punto d’ingresso in un potenziale problema per l’intera infrastruttura di rete.
La crescita della botnet è accelerata nel corso del 2025 grazie all’abuso dei servizi di proxy residenziali. Queste piattaforme, nate per instradare il traffico attraverso indirizzi IP domestici in varie aree geografiche, sono state sfruttate per veicolare comandi verso dispositivi IoT esposti, aggirando controlli di sicurezza tradizionali.
Provider di grandi dimensioni, tra cui servizi con milioni di endpoint disponibili settimanalmente, sono stati utilizzati come canali di distribuzione. Attraverso questi proxy, Kimwolf è riuscita a raggiungere dispositivi che altrimenti non sarebbero stati direttamente accessibili da Internet.
Il cuore dell’infrastruttura Kimwolf è composto in larga parte da box Android TV non certificati, basati su versioni open source del sistema operativo. Si tratta di dispositivi economici, spesso venduti per l’accesso a contenuti pirata, che arrivano sul mercato privi di adeguate protezioni di sicurezza.
In molti casi, questi media player includono software proxy preinstallato, porte di servizio esposte o meccanismi di autenticazione assenti. Una volta raggiunti, possono essere compromessi con estrema facilità e trasformati in nodi persistenti della botnet, difficili da ripulire o aggiornare.
Anche dopo l’introduzione di alcune contromisure da parte dei fornitori di servizi proxy, milioni di dispositivi restano infetti. La persistenza della minaccia è legata alla natura stessa dell’hardware: dispositivi poco gestiti, raramente aggiornati e spesso abbandonati a sé stessi.
Le indagini condotte da Infoblox mostrano che l’attività riconducibile a Kimwolf è stata osservata in una vasta gamma di reti aziendali e istituzionali. Le query DNS verso i domini di comando e controllo della botnet provengono da organizzazioni operanti in settori critici come sanità, istruzione, finanza e pubblica amministrazione.
Ulteriori analisi tecniche, attribuite agli esperti di Spur.us, hanno identificato decine di migliaia di indirizzi IP associati a servizi proxy vulnerabili all’interno di università, aziende e reti governative. In diversi casi, questi proxy offrono un punto d’ingresso che consente agli attaccanti di osservare o esplorare segmenti interni delle reti compromesse.
Il quadro che emerge è quello di una botnet IoT che non si limita a generare rumore, ma che può fornire un punto d’appoggio iniziale all’interno di organizzazioni complesse, ampliando significativamente la superficie di attacco.
La ricerca che ha portato alla luce questa infrastruttura e le sue implicazioni è stata pubblicata da Krebs on Security, offrendo uno sguardo dettagliato su come una minaccia apparentemente “domestica” possa avere conseguenze molto più ampie.
