Le botnet connu sous le nom Kimlobo a infecté plus de 2 millions d'appareils Android en passant par des réseaux proxy résidentiels, selon les conclusions de Synthient.
“Les principaux acteurs impliqués dans le botnet Kimwolf monétisent le botnet via l'installation d'applications, la vente de bande passante proxy résidentielle et la vente de sa fonctionnalité DDoS”, a déclaré la société dans une analyse publiée la semaine dernière.
Kimwolf a été documenté publiquement pour la première fois par QiAnXin XLab le mois dernier, tout en documentant ses connexions à un autre botnet connu sous le nom d'AISURU. Actif depuis au moins août 2025, Kimwolf est considéré comme une variante Android d'AISURU. De plus en plus de preuves suggèrent que le botnet est en réalité à l’origine d’une série d’attaques DDoS record à la fin de l’année dernière.
Les logiciels malveillants transforment les systèmes infectés en conduits pour relayer le trafic malveillant et orchestrer des attaques par déni de service distribué (DDoS) à grande échelle. La grande majorité des infections sont concentrées au Vietnam, au Brésil, en Inde et en Arabie Saoudite, et Synthient observe environ 12 millions d'adresses IP uniques par semaine.
Il a été constaté que les attaques qui distribuent le botnet ciblent principalement les appareils Android exécutant un service Android Debug Bridge (ADB) exposé à l'aide d'une infrastructure d'analyse qui utilise des proxys résidentiels pour installer le malware. Pas moins de 67 % des appareils connectés au botnet ne sont pas authentifiés et ont ADB activé par défaut.
Ces appareils sont soupçonnés d'être pré-infectés avec des kits de développement logiciel (SDK) provenant de fournisseurs de proxy pour les inclure subrepticement dans le botnet. Les appareils les plus compromis comprennent les téléviseurs intelligents et les décodeurs non officiels basés sur Android.
En décembre 2025, les infections Kimwolf ont profité des adresses IP proxy proposées à la location par la société chinoise IPIDEA, qui a déployé un correctif de sécurité le 27 décembre pour bloquer l'accès aux appareils du réseau local et à plusieurs ports sensibles. IPIDEA se décrit comme le « premier fournisseur de proxy IP au monde » avec plus de 6,1 millions d'adresses IP mises à jour quotidiennement et 69 000 nouvelles adresses IP quotidiennement.
En d’autres termes, le mode opératoire consiste à exploiter le réseau proxy d’IPIDEA et d’autres fournisseurs de proxy, puis à passer par les réseaux locaux des systèmes exécutant le logiciel proxy pour supprimer le logiciel malveillant. La charge utile principale écoute sur le port 40860 et se connecte au 85.234.91[.]247:1337 pour recevoir plus de commandes.
“L'ampleur de cette vulnérabilité était sans précédent et exposait des millions d'appareils à des attaques”, a déclaré Synthient.
De plus, les attaques infectent les appareils dotés d'un service de monétisation de bande passante connu sous le nom de Plainproxies Byteconnect SDK, ce qui indique des tentatives de monétisation plus larges. Le SDK utilise 119 serveurs relais qui reçoivent des tâches proxy d'un serveur de commande et de contrôle, qui sont ensuite exécutées par l'appareil compromis.
Synthient a déclaré avoir détecté une infrastructure utilisée pour mener des attaques de credential stuffing ciblant les serveurs IMAP et les sites Web en ligne populaires.
“La stratégie de monétisation de Kimwolf s'est manifestée dès le début à travers ses ventes agressives de titres résidentiels”, a déclaré la société. “En proposant des proxys pour seulement 0,20 centime par Go ou 1,4 000 $ par mois pour une bande passante illimitée, vous bénéficierez d'une adoption rapide par plusieurs fournisseurs de proxy.”
“La découverte de boîtiers TV pré-infectés et la monétisation de ces robots via des SDK secondaires comme Byteconnect indiquent une relation de plus en plus étroite entre les acteurs de la menace et les fournisseurs de proxy commerciaux.”
Pour contrer ce risque, il est conseillé aux fournisseurs de proxy de bloquer les demandes d'adresses RFC 1918, qui sont des plages d'adresses IP privées définies pour être utilisées sur des réseaux privés. Il est recommandé aux organisations de bloquer les appareils exécutant des shells ADB non authentifiés pour empêcher tout accès non autorisé.