Martedi 07 Luglio 2026 03:49:14 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware & Botnets

Blackout delle botnet: l’impero sotterraneo dei proxy staccato dalla spina

Pubblicato: 15 Gennaio 2026 01:12Categoria: Malware & BotnetsArea: EuropeAutore: KERNELWATCHER

I ricercatori mettono in ginocchio le botnet Kimwolf e Aisuru, svelando un mercato ombra di dispositivi dirottati che alimenta il cybercrimine globale.

Tutto è iniziato con un’impennata: un improvviso picco del 300% di dispositivi Android dirottati che si univano a una misteriosa rete di proxy. Entro metà ottobre 2025, i ricercatori di sicurezza di Black Lotus Labs avevano seguito le briciole digitali fino a un vasto impero di botnet, orchestrato tramite Kimwolf e il suo malware “gemello”, Aisuru. La loro missione: recidere le linee di comando di una delle più grandi operazioni di proxy cybercriminali degli ultimi tempi. Ciò che hanno scoperto è stato uno schema astuto che trasformava milioni di dispositivi di uso quotidiano in ignari fanti del cybercrimine.

Dati rapidi

  • Oltre 550 server di comando e controllo (C2) delle botnet instradati verso il nulla (null-routed) dai ricercatori da ottobre 2025.
  • Le botnet Kimwolf e Aisuru hanno infettato più di 2 milioni di dispositivi Android, principalmente box per lo streaming TV.
  • I dispositivi compromessi sono stati arruolati come proxy residenziali, mascherando l’attività criminale come traffico legittimo.
  • Il traffico proveniente da queste botnet veniva venduto sui mercati underground, con operatori che usavano server Discord per smerciare l’accesso.
  • I ricercatori hanno identificato una rete di 832 router violati in Russia, tutti operativi come nodi proxy per cybercriminali.

L’anatomia di una botnet di proxy

Kimwolf e Aisuru non sono botnet qualunque. A differenza delle classiche armate per DDoS, questi ceppi di malware sono specializzati nel dirottare dispositivi consumer-nello specifico box Android TV e router per piccoli uffici/uffici domestici (SOHO). Sfruttando servizi Android Debug Bridge (ADB) esposti e facendo leva su SDK proxy vulnerabili come ByteConnect, gli attaccanti hanno trasformato questi gadget in varchi per attività illecite su internet. I dispositivi infetti, ora operativi come nodi proxy residenziali, permettevano ai criminali di affittarne gli indirizzi IP, facendo apparire il traffico malevolo innocuo quanto una maratona su Netflix.

L’operazione era impeccabile. Gli operatori della botnet scandagliavano la rete in cerca di dispositivi vulnerabili, rilasciavano il loro malware e convogliavano il traffico attraverso reti residenziali. Gli IP pubblici di questi dispositivi infetti venivano poi messi a noleggio su oscuri marketplace di proxy, molti dei quali coordinati apertamente tramite server Discord come resi[.]to. Persino il provider di hosting Resi Rack LLC, pubblicizzato come una legittima società di game server, è stato chiamato in causa, con i suoi co-fondatori che avrebbero venduto accesso alla rete di proxy per anni.

Man mano che la botnet cresceva-aggiungendo fino a 800.000 nuovi bot in una sola settimana-i ricercatori hanno osservato Kimwolf scandagliare servizi proxy concorrenti per trovare ancora più bersagli. Nel frattempo, altri gruppi erano impegnati a compromettere router presso ISP russi, automatizzando lo sfruttamento di massa per aggiungere silenziosamente centinaia di router SOHO al bacino di proxy. Questi endpoint, con la loro reputazione residenziale “pulita”, sfuggivano ai radar della maggior parte degli strumenti di sicurezza.

Le conseguenze nel mondo reale

Questo impero di proxy ha abilitato un ampio spettro di cybercrimine: dagli attacchi DDoS e il credential stuffing alla distribuzione di malware e alle frodi. Il genio dello schema stava nella sua invisibilità; confondendosi con il normale traffico internet domestico, gli attori malevoli eludevano rilevamento e blacklist. Per gli utenti finali, significava che i loro dispositivi venivano trasformati in armi senza che lo sapessero, con la loro banda e la loro fiducia vendute silenziosamente al miglior offerente.

L’abbattimento orchestrato da Black Lotus Labs-con il null-routing di oltre 550 server C2-ha inferto un colpo serio a queste operazioni. Ma finché i dispositivi consumer resteranno non aggiornati e le reti di proxy saranno redditizie, la corsa agli armamenti tra attaccanti e difensori è tutt’altro che finita.

Guardando avanti

La saga di Kimwolf e Aisuru è un monito netto: le nostre case intelligenti e i dispositivi connessi sono ormai terreno di caccia privilegiato per i cybercriminali. Vigilanza, aggiornamenti regolari e scetticismo verso app sconosciute sono i nuovi essenziali. Perché nel sottobosco dei proxy, il tuo box TV potrebbe essere il prossimo complice inconsapevole.

WIKICROOK

  • Botnet: Una botnet è una rete di dispositivi infetti controllati da remoto da cybercriminali, spesso usata per lanciare attacchi su larga scala o rubare dati sensibili.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Proxy residenziale: Un proxy residenziale usa un vero indirizzo IP domestico per far apparire l’attività online come proveniente da un utente reale, mascherando la fonte effettiva.
  • Null: Null indica un valore vuoto o non definito nei dati o nel software, che può causare problemi di sicurezza se non gestito correttamente.
  • Android Debug Bridge (ADB): ADB è uno strumento a riga di comando per gestire dispositivi Android, utile per gli sviluppatori ma potenzialmente rischioso se usato impropriamente o lasciato non protetto.