Kimwolf: la botnet IoT che si muove silenziosa tra reti aziendali e governative

La botnet Kimwolf rappresenta una delle più insidiose minacce IoT emerse di recente.

Secondo le analisi più aggiornate, questa infrastruttura malevola ha già compromesso oltre due milioni di dispositivi, sfruttandoli per attacchi distribuiti di negazione del servizio e come nodi intermedi per traffico abusivo. Il suo vero punto di forza, però, non è il volume, ma la capacità di insinuarsi all’interno di reti che non erano mai state pensate come terreno fertile per una botnet IoT.

Una botnet che guarda dentro le reti

Kimwolf non si limita a controllare dispositivi isolati. Una volta ottenuto l’accesso, il malware scansiona attivamente la rete locale alla ricerca di altri sistemi vulnerabili. Questo comportamento consente agli operatori di espandere l’infezione lateralmente, trasformando un singolo punto d’ingresso in un potenziale problema per l’intera infrastruttura di rete.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La crescita della botnet è accelerata nel corso del 2025 grazie all’abuso dei servizi di proxy residenziali. Queste piattaforme, nate per instradare il traffico attraverso indirizzi IP domestici in varie aree geografiche, sono state sfruttate per veicolare comandi verso dispositivi IoT esposti, aggirando controlli di sicurezza tradizionali.

Provider di grandi dimensioni, tra cui servizi con milioni di endpoint disponibili settimanalmente, sono stati utilizzati come canali di distribuzione. Attraverso questi proxy, Kimwolf è riuscita a raggiungere dispositivi che altrimenti non sarebbero stati direttamente accessibili da Internet.

Android TV box: il tallone d’Achille

Il cuore dell’infrastruttura Kimwolf è composto in larga parte da box Android TV non certificati, basati su versioni open source del sistema operativo. Si tratta di dispositivi economici, spesso venduti per l’accesso a contenuti pirata, che arrivano sul mercato privi di adeguate protezioni di sicurezza.

In molti casi, questi media player includono software proxy preinstallato, porte di servizio esposte o meccanismi di autenticazione assenti. Una volta raggiunti, possono essere compromessi con estrema facilità e trasformati in nodi persistenti della botnet, difficili da ripulire o aggiornare.

Anche dopo l’introduzione di alcune contromisure da parte dei fornitori di servizi proxy, milioni di dispositivi restano infetti. La persistenza della minaccia è legata alla natura stessa dell’hardware: dispositivi poco gestiti, raramente aggiornati e spesso abbandonati a sé stessi.

Una presenza inattesa in ambienti sensibili

Le indagini condotte da Infoblox mostrano che l’attività riconducibile a Kimwolf è stata osservata in una vasta gamma di reti aziendali e istituzionali. Le query DNS verso i domini di comando e controllo della botnet provengono da organizzazioni operanti in settori critici come sanità, istruzione, finanza e pubblica amministrazione.

Ulteriori analisi tecniche, attribuite agli esperti di Spur.us, hanno identificato decine di migliaia di indirizzi IP associati a servizi proxy vulnerabili all’interno di università, aziende e reti governative. In diversi casi, questi proxy offrono un punto d’ingresso che consente agli attaccanti di osservare o esplorare segmenti interni delle reti compromesse.

Il quadro che emerge è quello di una botnet IoT che non si limita a generare rumore, ma che può fornire un punto d’appoggio iniziale all’interno di organizzazioni complesse, ampliando significativamente la superficie di attacco.

La ricerca che ha portato alla luce questa infrastruttura e le sue implicazioni è stata pubblicata da Krebs on Security, offrendo uno sguardo dettagliato su come una minaccia apparentemente “domestica” possa avere conseguenze molto più ampie.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.