Badbox 2.0 è una delle botnet più estese legate a dispositivi Android non ufficiali, in particolare i TV box per lo streaming che spesso arrivano già compromessi prima ancora di essere accesi. Il punto critico è che il malware può essere preinstallato nel firmware oppure introdotto durante la configurazione iniziale tramite app scaricate da marketplace non ufficiali. Questo modello di infezione rende difficile per l’utente accorgersi del problema e trasforma il dispositivo in una risorsa controllata da remoto, utile per frodi pubblicitarie e per altre attività criminali su larga scala.

Negli ultimi mesi è emerso un collegamento inquietante tra Badbox 2.0 e Kimwolf, un’altra botnet molto aggressiva che ha colpito milioni di dispositivi. Una schermata attribuita agli operatori di Kimwolf mostrerebbe l’accesso a un pannello di controllo di Badbox 2.0 con un elenco di utenti autorizzati. L’elemento più sospetto è la presenza di un account anomalo che non sembra appartenere al gruppo originale, segnale possibile di accesso non autorizzato al backend della botnet. Se questo accesso fosse reale, significherebbe che un gruppo criminale potrebbe usare direttamente l’infrastruttura Badbox 2.0 per distribuire nuovo malware e ampliare ancora più rapidamente le infezioni.

L’analisi dei contatti associati agli account del pannello, in particolare indirizzi email su qq.com, porta a una serie di tracce OSINT che rimandano a domini e aziende tecnologiche cinesi già citate in precedenti indagini su Badbox 2.0. Alcuni domini risultano collegati alla distribuzione e gestione dell’ecosistema, mentre password riutilizzate e registrazioni storiche di domini suggeriscono collegamenti tra identità e progetti digitali che ruotano attorno a infrastrutture compatibili con una botnet. Incrociando dati di registrazione, archivi web e servizi di threat intelligence, emergono nomi e riferimenti coerenti con ruoli tecnici e amministrativi legati a domini associati a Badbox 2.0.

Il rischio per la sicurezza domestica e aziendale non riguarda solo il singolo TV box. Dispositivi IoT privi di autenticazione robusta possono essere raggiunti con semplici comandi se un attaccante riesce a comunicare con loro, e alcune tecniche sfruttano anche proxy residenziali per sondare reti locali dietro firewall. Per questo la scelta di dispositivi certificati, l’uso di store ufficiali e l’isolamento dei gadget su reti separate restano misure pratiche per ridurre l’esposizione.