Una nuova campagna di malware sta colpendo dispositivi di rete edge con un obiettivo preciso: trasformare router e apparati simili in una botnet proxy in grado di instradare traffico malevolo in modo silenzioso. Il malware si chiama KadNap e prende di mira soprattutto i router Asus, anche se le analisi indicano tentativi di infezione anche su altri dispositivi di networking. La crescita è rapida, con oltre 14.000 dispositivi compromessi e una forte concentrazione di vittime negli Stati Uniti, seguita da casi in diverse aree tra cui Europa e Italia.

La caratteristica più rilevante di KadNap è l’uso di un sistema peer-to-peer basato su una versione personalizzata del protocollo Kademlia DHT (Distributed Hash Table). In pratica la botnet non dipende da un singolo server centrale facile da bloccare, ma sfrutta una rete distribuita in cui i nodi infetti si aiutano a individuare le risorse di comando e controllo. Questo approccio consente di nascondere meglio l’infrastruttura e di confondersi nel rumore del traffico legittimo peer-to-peer, rendendo più complesso il monitoraggio tradizionale e le operazioni di disruption.

La catena di infezione descrive un meccanismo tipico per i malware su router. Un file script viene scaricato da un server remoto e poi reso persistente tramite un cron job che lo recupera a intervalli regolari, lo rinomina con un nome che richiama il dispositivo e lo esegue. Dopo la persistenza, lo script scarica un file ELF malevolo, lo rinomina e lo avvia installando KadNap. La compatibilità con architetture ARM e MIPS amplia il bacino di dispositivi vulnerabili tipico degli ambienti SOHO e degli edge device.

KadNap utilizza anche un server NTP per ottenere l’ora corrente e combinarla con informazioni di uptime del dispositivo, creando un hash utile a localizzare altri peer nella rete decentralizzata e ricevere comandi o nuovi file. Alcuni componenti aggiuntivi includono funzioni per chiudere la porta 22 (SSH) e per estrarre liste di indirizzi IP e porte dei sistemi di comando e controllo a cui connettersi. È stato inoltre osservato che non tutti i dispositivi parlano con tutti i server, suggerendo una segmentazione dell’infrastruttura in base a modello e tipologia.

I dispositivi compromessi vengono poi monetizzati tramite un servizio di proxy che pubblicizza anonimato e copertura in molti paesi, offrendo accesso a proxy residenziali. Questo rende la botnet appetibile per attori malevoli che vogliono mascherare origine e identità delle loro operazioni. Per ridurre il rischio su router e dispositivi edge è fondamentale aggiornare il firmware, cambiare le password di default, proteggere le interfacce di gestione, riavviare regolarmente e sostituire i modelli fuori supporto.