- Специальный корреспондент
За красивой картинкой на телевизоре у некоторых приставок прячется готовый инструмент для атак и взломов.
Вы покупаете недорогую Android TV приставку с неизвестного бренда, подключаете к телевизору и забываете о ней на годы. А она тем временем может тихо превратить ваш домашний интернет в инструмент для кибератак и серых онлайн-сервисов. Именно так, по данным исследователей, разросся новый ботнет Kimwolf, который заразил больше двух миллионов устройств, массово взломав огромное количество неофициальных Android TV боксов.
В декабре 2025 года компания XLab опубликовала подробный разбор Kimwolf. По их данным, зараженные приставки используют как минимум в двух целях: для участия в DDoS-атаках и как узлы так называемых резидентных прокси. Это бизнес, который продает клиентам доступ к интернет-трафику, идущему как будто от реальных домашних устройств. Такой трафик охотно покупают для накрутки рекламы, перебора паролей, попыток захвата аккаунтов и массового сбора данных с сайтов.
Особенность Kimwolf в том, что он нацелен не на обычные смартфоны, а на саму инфраструктуру дешевых TV-приставок. В отчете говорится, что вредоносный компонент связан с прокси-ПО, которое на заводе предустановлено более чем на тысяче моделей «несанкционированных» Android TV устройств. После заражения их IP-адреса начинают прокачивать подозрительный трафик практически сразу, а владельцы приставок обычно ничего не замечают.
XLab также утверждает, что Kimwolf тесно связан с более ранним ботнетом Aisuru. Исследователи нашли «однозначные доказательства» того, что для обоих использовались одни и те же злоумышленники и инфраструктура. В частности, 8 декабря 2025 года они заметили, что оба варианта ботнета распространялись с одного и того же IP-адреса 93.95.112.59, что подтвердило их подозрения о едином авторе или группе.
Дальше начинается самое интересное. По публичным данным, диапазон адресов, который отметил XLab, закреплен за компанией Resi Rack LLC из Лихая, штат Юта. На своем сайте Resi Rack позиционирует себя как хостинг для игровых серверов, но рекламные сообщения на форуме BlackHatWorld описывают ее иначе: как компанию, связанную с «премиальным хостингом для residential proxy» и решениями для прокси-ПО. Сооснователь Resi Rack Кэссиди Хейлс сообщил KrebsOnSecurity, что 10 декабря получил уведомление о том, что Kimwolf использует их сеть, и заявил, что проблему «решили сразу после письма». При этом позже на дополнительные вопросы владельцы компании отвечать не стали.
За несколько недель до публикации XLab к этой истории подобрались и другие исследователи. В Synthient рассказали, что продавцы прокси, якобы получавшие выгоду от Aisuru и Kimwolf, активно общались в Discord-сервере resi.to. Когда журналисты KrebsOnSecurity зашли туда в конце октября 2025 года, участников было меньше 150, среди них был пользователь Shox, так в чате называли одного из сооснователей Resi Rack, и его партнер Linus. Участники сервера периодически выкладывали новые IP-адреса, через которые шел проксируемый трафик с зараженных приставок, а Synthient насчитал как минимум семь статических адресов Resi Rack, связанных с инфраструктурой Kimwolf в период с октября по декабрь 2025 года.
В переписке всплывали и другие имена. Владельцем Discord-сервера значился пользователь с ником, сокращенным до одной буквы D, что, по версии расследователей, может отсылать к хакерскому псевдониму Dort. Еще одно имя, которое звучит в этой истории — Snow. Бразилец по прозвищу Forky, который признал участие в продвижении Aisuru на раннем этапе, утверждает, что именно Dort и Snow сейчас контролируют Aisuru и Kimwolf, хотя сам он отрицает причастность к рекордным DDoS-атакам второй половины 2025 года и говорит, что ботнет к тому моменту «перехватили конкуренты».
Сразу после публикации первой заметки о Kimwolf 2 января 2026 года переписка на resi.to внезапно исчезла, а сам Discord-сервер вскоре был удален. Часть активных участников перебралась в Telegram, где, по данным журналистов, выложила персональные данные Брандажа и обсуждала, как сложно найти «пуленепробиваемый» хостинг для ботнета. В тот же день сайт Synthient подвергся DDoS-атаке, а операторы Kimwolf подключили для давления еще один необычный канал.
Речь про Ethereum Name Service, или ENS. По данным XLab, в середине декабря операторы Kimwolf обновили инфраструктуру и начали использовать ENS-записи, чтобы усложнить отключение управляющих серверов. Это работает таким образом, что зараженные приставки получают адрес командного сервера не напрямую, а через текстовую запись в ENS. Если сервер заблокировали или отключили, злоумышленникам достаточно обновить запись, и устройства сразу узнают новый адрес. В этих же ENS-записях появлялись короткие сообщения, включая публикацию личной информации исследователя. Среди «советов» встречалось и такое: если устройство «засветилось», его рекомендуют уничтожить.
Отдельная линия расследования касается сервисов, которые могли зарабатывать на трафике Kimwolf. По данным Synthient и XLab, ботнет устанавливал на зараженные приставки компоненты для нескольких residential proxy-провайдеров. Один из них связан с SDK ByteConnect, который распространяет компания Plainproxies. В рекламных описаниях ByteConnect говорит об «этичной монетизации приложений», а Plainproxies обещает «безлимитные» прокси-пулы для компаний, занимающихся сбором данных. Однако исследователи Synthient утверждают, что при подключении к SDK увидели всплеск атак credential stuffing, то есть массового перебора логинов и паролей, направленных на почтовые серверы и популярные сайты.
По открытым данным, CEO Plainproxies указан Фридрих Крафт, который также фигурирует как сооснователь ByteConnect Ltd и связан с немецкой хостинговой компанией 3XK Tech GmbH. В июле 2025 года Cloudflare сообщала, что 3XK Tech стала крупнейшим источником DDoS-атак на уровне приложений, а в ноябре 2025 года GreyNoise писала, что адреса этой компании обеспечивали значительную долю сканирования интернета в поисках свежей критической уязвимости в продуктах Palo Alto Networks.
Еще один сервис, который исследователи связывают с продажей прокси на базе Kimwolf — это Maskify. Он рекламируется на криминальных форумах и заявляет о миллионах «домашних» адресов в аренду, при этом цены выглядят подозрительно низкими по меркам рынка. Synthient пишет, что получал скриншоты, где участники, связанные с Kimwolf, пытались быстро продать пропускную способность прокси за наличные авансом, и подчеркивает: перепродавцы отлично понимают, что такие прокси не могут быть получены «этично».
И XLab, и Synthient сходятся в одном: огромное число моделей этих Android TV боксов не имеет нормальной защиты, а некоторые поставляются уже с вредоносными прокси-компонентами. Во многих случаях, если устройство доступно из сети, его можно получить под полный контроль. Поэтому если у вас дома стоит подозрительно дешевая «ноунейм» приставка Android TV без обновлений, лучше отключить ее от сети и не рисковать.
Источник
Вы покупаете недорогую Android TV приставку с неизвестного бренда, подключаете к телевизору и забываете о ней на годы. А она тем временем может тихо превратить ваш домашний интернет в инструмент для кибератак и серых онлайн-сервисов. Именно так, по данным исследователей, разросся новый ботнет Kimwolf, который заразил больше двух миллионов устройств, массово взломав огромное количество неофициальных Android TV боксов.
В декабре 2025 года компания XLab опубликовала подробный разбор Kimwolf. По их данным, зараженные приставки используют как минимум в двух целях: для участия в DDoS-атаках и как узлы так называемых резидентных прокси. Это бизнес, который продает клиентам доступ к интернет-трафику, идущему как будто от реальных домашних устройств. Такой трафик охотно покупают для накрутки рекламы, перебора паролей, попыток захвата аккаунтов и массового сбора данных с сайтов.
Особенность Kimwolf в том, что он нацелен не на обычные смартфоны, а на саму инфраструктуру дешевых TV-приставок. В отчете говорится, что вредоносный компонент связан с прокси-ПО, которое на заводе предустановлено более чем на тысяче моделей «несанкционированных» Android TV устройств. После заражения их IP-адреса начинают прокачивать подозрительный трафик практически сразу, а владельцы приставок обычно ничего не замечают.
XLab также утверждает, что Kimwolf тесно связан с более ранним ботнетом Aisuru. Исследователи нашли «однозначные доказательства» того, что для обоих использовались одни и те же злоумышленники и инфраструктура. В частности, 8 декабря 2025 года они заметили, что оба варианта ботнета распространялись с одного и того же IP-адреса 93.95.112.59, что подтвердило их подозрения о едином авторе или группе.
Дальше начинается самое интересное. По публичным данным, диапазон адресов, который отметил XLab, закреплен за компанией Resi Rack LLC из Лихая, штат Юта. На своем сайте Resi Rack позиционирует себя как хостинг для игровых серверов, но рекламные сообщения на форуме BlackHatWorld описывают ее иначе: как компанию, связанную с «премиальным хостингом для residential proxy» и решениями для прокси-ПО. Сооснователь Resi Rack Кэссиди Хейлс сообщил KrebsOnSecurity, что 10 декабря получил уведомление о том, что Kimwolf использует их сеть, и заявил, что проблему «решили сразу после письма». При этом позже на дополнительные вопросы владельцы компании отвечать не стали.
За несколько недель до публикации XLab к этой истории подобрались и другие исследователи. В Synthient рассказали, что продавцы прокси, якобы получавшие выгоду от Aisuru и Kimwolf, активно общались в Discord-сервере resi.to. Когда журналисты KrebsOnSecurity зашли туда в конце октября 2025 года, участников было меньше 150, среди них был пользователь Shox, так в чате называли одного из сооснователей Resi Rack, и его партнер Linus. Участники сервера периодически выкладывали новые IP-адреса, через которые шел проксируемый трафик с зараженных приставок, а Synthient насчитал как минимум семь статических адресов Resi Rack, связанных с инфраструктурой Kimwolf в период с октября по декабрь 2025 года.
В переписке всплывали и другие имена. Владельцем Discord-сервера значился пользователь с ником, сокращенным до одной буквы D, что, по версии расследователей, может отсылать к хакерскому псевдониму Dort. Еще одно имя, которое звучит в этой истории — Snow. Бразилец по прозвищу Forky, который признал участие в продвижении Aisuru на раннем этапе, утверждает, что именно Dort и Snow сейчас контролируют Aisuru и Kimwolf, хотя сам он отрицает причастность к рекордным DDoS-атакам второй половины 2025 года и говорит, что ботнет к тому моменту «перехватили конкуренты».
Сразу после публикации первой заметки о Kimwolf 2 января 2026 года переписка на resi.to внезапно исчезла, а сам Discord-сервер вскоре был удален. Часть активных участников перебралась в Telegram, где, по данным журналистов, выложила персональные данные Брандажа и обсуждала, как сложно найти «пуленепробиваемый» хостинг для ботнета. В тот же день сайт Synthient подвергся DDoS-атаке, а операторы Kimwolf подключили для давления еще один необычный канал.
Речь про Ethereum Name Service, или ENS. По данным XLab, в середине декабря операторы Kimwolf обновили инфраструктуру и начали использовать ENS-записи, чтобы усложнить отключение управляющих серверов. Это работает таким образом, что зараженные приставки получают адрес командного сервера не напрямую, а через текстовую запись в ENS. Если сервер заблокировали или отключили, злоумышленникам достаточно обновить запись, и устройства сразу узнают новый адрес. В этих же ENS-записях появлялись короткие сообщения, включая публикацию личной информации исследователя. Среди «советов» встречалось и такое: если устройство «засветилось», его рекомендуют уничтожить.
Отдельная линия расследования касается сервисов, которые могли зарабатывать на трафике Kimwolf. По данным Synthient и XLab, ботнет устанавливал на зараженные приставки компоненты для нескольких residential proxy-провайдеров. Один из них связан с SDK ByteConnect, который распространяет компания Plainproxies. В рекламных описаниях ByteConnect говорит об «этичной монетизации приложений», а Plainproxies обещает «безлимитные» прокси-пулы для компаний, занимающихся сбором данных. Однако исследователи Synthient утверждают, что при подключении к SDK увидели всплеск атак credential stuffing, то есть массового перебора логинов и паролей, направленных на почтовые серверы и популярные сайты.
По открытым данным, CEO Plainproxies указан Фридрих Крафт, который также фигурирует как сооснователь ByteConnect Ltd и связан с немецкой хостинговой компанией 3XK Tech GmbH. В июле 2025 года Cloudflare сообщала, что 3XK Tech стала крупнейшим источником DDoS-атак на уровне приложений, а в ноябре 2025 года GreyNoise писала, что адреса этой компании обеспечивали значительную долю сканирования интернета в поисках свежей критической уязвимости в продуктах Palo Alto Networks.
Еще один сервис, который исследователи связывают с продажей прокси на базе Kimwolf — это Maskify. Он рекламируется на криминальных форумах и заявляет о миллионах «домашних» адресов в аренду, при этом цены выглядят подозрительно низкими по меркам рынка. Synthient пишет, что получал скриншоты, где участники, связанные с Kimwolf, пытались быстро продать пропускную способность прокси за наличные авансом, и подчеркивает: перепродавцы отлично понимают, что такие прокси не могут быть получены «этично».
И XLab, и Synthient сходятся в одном: огромное число моделей этих Android TV боксов не имеет нормальной защиты, а некоторые поставляются уже с вредоносными прокси-компонентами. Во многих случаях, если устройство доступно из сети, его можно получить под полный контроль. Поэтому если у вас дома стоит подозрительно дешевая «ноунейм» приставка Android TV без обновлений, лучше отключить ее от сети и не рисковать.
Источник
