Ботнет KadNap захватывает роутеры ASUS для создания вредоносной прокси-сети
Новый ботнет, получивший название KadNap, активно заражает роутеры ASUS и другие периферийные сетевые устройства, превращая их в прокси для злонамеренного интернет-трафика. Согласно исследованию Black Lotus Labs от Lumen Technologies, с августа 2025 года сеть значительно разрослась и сейчас насчитывает примерно 14 000 устройств. Эти заражённые устройства формируют одноранговую сеть, использующую модифицированную версию протокола Kademlia для распределённого хэш-таблицы в качестве системы командования и управления.
Децентрализованная архитектура делает ботнет исключительно устойчивым, поскольку в нём отсутствует единая точка отказа. Информация управления распределена по всей сети, а каждый узел контролирует лишь подмножество общих данных, что серьёзно осложняет для защитников идентификацию и ликвидацию всей структуры. Цепочка заражения начинается, когда уязвимое устройство загружает вредоносный shell-скрипт с определённого IP-адреса.
Этот скрипт обеспечивает постоянство, создавая задание cron, которое выполняется каждые 55 минут. Конечным полезным грузом является бинарный файл с именем `kad`, который устанавливает клиент KadNap. После активации вредоносное ПО проводит разведку для определения внешнего IP-адреса узла и связывается с несколькими серверами точного времени для синхронизации, что критично для координации действий и потенциального уклонения от детектирования.
Основная функция захваченных устройств — работать как прокси, маршрутизируя трафик для других киберпреступных операций, включая кражу учётных данных, DDoS-атаки и анонимизацию соединений злоумышленников. Географически ботнет демонстрирует сконцентрированное присутствие: почти 60% заражённых устройств находятся в США, значительные проценты также приходятся на Тайвань, Гонконг и Россию.
Исследователи отмечают, что почти половина сети KadNap взаимодействует с инфраструктурой управления, предназначенной specifically для устройств ASUS, что указывает на возможную эксплуатацию известных уязвимостей в прошивках этих роутеров. Использование модифицированного протокола Kademlia знаменует эволюцию в дизайне ботнетов, делая их более скрытными и живучими. Для защитников сетей и домашних пользователей появление KadNap подчёркивает критическую важность регулярного обновления прошивок и изменения стандартных учётных данных на маршрутизаторах.
