Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Kimwolf conquista Android TV: 1,8 milioni di dispositivi in botnet, DDoS record e C2 nascosto su ENS
La botnet Kimwolf sta attirando grande attenzione nel mondo della cybersecurity per la sua capacita di compromettere dispositivi Android TV su vasta scala e di avviare attacchi DDoS massivi. Le analisi indicano che questa rete malevola ha arruolato circa 1.8 milioni di dispositivi infetti tra smart TV, set top box e tablet basati su Android, trasformandoli in nodi controllati da remoto per operazioni criminali.
Uno degli aspetti piu rilevanti e la velocita con cui Kimwolf e stata utilizzata per generare traffico ostile. In una finestra di soli tre giorni tra il 19 e il 22 novembre 2025 sarebbero stati emessi circa 1.7 miliardi di comandi DDoS. I principali bersagli risultano concentrati in Paesi come Stati Uniti, Cina, Francia, Germania e Canada, mentre le infezioni si distribuiscono globalmente con picchi in Brasile, India, Stati Uniti, Argentina, Sudafrica e Filippine. I modelli colpiti includono diverse famiglie di TV box e SmartTV spesso presenti in reti domestiche, dove la sicurezza e meno monitorata rispetto agli ambienti aziendali.
Dal punto di vista tecnico Kimwolf non si limita agli attacchi DDoS. Integra funzionalita tipiche di un malware avanzato come proxy forwarding, reverse shell e gestione file, aumentando il valore economico dei dispositivi compromessi. Non a caso, una larga parte dei comandi osservati riguarda luso dei nodi come servizi proxy, con lobiettivo di sfruttare banda e indirizzi IP residenziali per attivita illecite e monetizzazione. In questo contesto e stato anche segnalato luso di componenti dedicati alla creazione di una rete proxy e la distribuzione di strumenti legati alla monetizzazione del traffico.
Kimwolf sembra inoltre collegata a unaltra botnet nota per attacchi record, suggerendo riuso di codice e infrastrutture comuni. Per rendere piu difficile il takedown dei server di comando e controllo, gli operatori avrebbero adottato tecniche di offuscamento e resilienza basate su Ethereum Name Service, sfruttando meccanismi simili a EtherHiding per recuperare gli indirizzi dei server reali tramite dati su blockchain. Questa evoluzione dimostra come le botnet IoT stiano diventando piu sofisticate, spostando lattenzione dai router e dalle telecamere verso smart TV e TV box, oggi sempre piu diffusi nelle case.