Вредоносная программа KadNap заразила более 14 000 периферийных устройств для создания скрытого прокси-ботнета
Исследователи кибербезопасности обнаружили сложную вредоносную кампанию, получившую название KadNap, которая систематически компрометирует периферийные сетевые устройства — в основном маршрутизаторы Asus — для включения их в крупномасштабный ботнет, предназначенный для проксирования злонамеренного интернет-трафика. Согласно подробному отчету Black Lotus Labs компании Lumen, вредоносное ПО впервые было замечено в августе 2025 года и с тех пор расширилось, заразив более 14 000 устройств по всему миру. Основной удар кампании пришелся на Соединенные Штаты, на которые приходится более 60% зараженных узлов. Значительные инфекции также были обнаружены на Тайване, в Гонконге, России, Великобритании, Австралии, Бразилии, Франции, Италии и Испании, что указывает на широкую международную стратегию атаки.
Техническая сложность KadNap заключается в использовании пользовательской реализации протокола Kademlia Distributed Hash Table. Этот одноранговый подход, обычно связанный с децентрализованными системами, такими как файлообменные сети, вредоносная программа перепрофилирует для обфускации своей инфраструктуры командования и управления. Встраивая информацию о серверах управления в сеть DHT, вредоносное ПО позволяет скомпрометированным устройствам находить контроллеры без reliance на статический, легко блокируемый IP-адрес или домен. Эта архитектура делает ботнет чрезвычайно устойчивым, уклоняясь от традиционного сетевого мониторинга и усилий по ликвидации, нацеленных на централизованные серверы управления.
После успешного заражения и интеграции в одноранговую сеть устройство становится товаром для прокси-сервиса под названием Doppelgänger. Аналитики оценивают этот сервис как ребрендинг ранее известного сервиса "Faceless", связанного с вредоносной программой TheMoon. Сайт Doppelgänger, запущенный примерно в мае-июне 2025 года, рекламирует "резидентные прокси" в более чем 50 странах, обещая "100% анонимность" своим пользователям — вероятно, киберпреступникам, стремящимся скрыть свою деятельность за завесой легитимных IP-адресов скомпрометированных домашних сетей. Эта модель монетизации превращает уязвимые домашние и офисные маршрутизаторы в инструменты для мошенничества, перебора учетных данных, рекламного мошенничества и других незаконных операций.
Первоначальное заражение начинается со скрипта оболочки с именем `aic.sh`, загружаемого с сервера управления по IP-адресу 212.104.141[.]140. Этот скрипт обеспечивает устойчивость на устройстве жертвы, создавая задание cron, которое выполняется на 55-й минуте каждого часа. Задача cron — загружать последнюю версию основного вредоносного модуля, обеспечивая постоянное обновление и контроль. Этот метод позволяет злоумышленникам поддерживать долгосрочный доступ к зараженным устройствам.
Эксперты подчеркивают, что атака эксплуатирует слабые или стандартные учетные данные, а также известные уязвимости в прошивках устройств. Владельцам маршрутизаторов настоятельно рекомендуется немедленно изменить пароли по умолчанию, отключить удаленное администрирование и регулярно обновлять прошивку. Растущая волна атак на периферийные устройства, такие как маршрутизаторы и камеры, превращает их в стратегическую цель для создания скрытых, устойчивых сетей, что представляет серьезную угрозу для глобальной безопасности интернета.
