Ein neu entdecktes Botnet namens KadNap nimmt in grossem Stil Asus-Router und andere Netzwerkgeräte ins Visier. Seit August 2025 wurden nach Angaben der Sicherheitsforscher von Black Lotus Labs (Lumen Technologies) rund 14 000 Systeme infiziert und in ein weltweites Netz sogenannter residential Proxys eingebunden, über das Angreifer ihren schädlichen Datenverkehr tarnen.
Ausmass des KadNap-Botnets und bevorzugte Ziele
KadNap organisiert kompromittierte Geräte in einem Peer-to-Peer-(P2P)-Botnet. Anders als klassische Botnetze mit einem zentralen Command-and-Control-Server (C2) kommunizieren hier viele Knoten direkt miteinander. Dadurch wird die Infrastruktur robuster gegen Abschaltungen, da kein einzelner Server als „Single Point of Failure“ existiert.
Besonders auffällig ist der Fokus auf Asus-Router. Laut der Analyse ist nahezu die Hälfte der Steuerungsinfrastruktur speziell für Geräte dieses Herstellers reserviert. Andere kompromittierte Systeme werden dagegen über zwei zentrale C2-Server eingebunden. Diese Aufteilung deutet auf eine gezielte Optimierung der Malware für bestimmte Router-Plattformen hin – ein Muster, das bereits bei früheren Router-Botnetzen wie TheMoon zu beobachten war.
Rund 60 % der bekannten KadNap-Knoten befinden sich in den USA. Weitere grössere Cluster wurden in Taiwan und Hongkong identifiziert. Dieses geografische Muster ist typisch für Botnetze, die Heim- und kleine Büro-Router kompromittieren: Die Angreifer profitieren von stabilen Verbindungen und legitimen, „normal“ wirkenden IP-Adressen.
Infektionskette: Von aic.sh zum KadNap-Client
Die Kompromittierung beginnt mit dem Download eines Shell-Skripts namens aic.sh von der IP-Adresse 212.104.141[.]140. Dieses Skript wird über einen cron-Job alle 55 Minuten automatisch ausgeführt. Cron ist ein Unix-Taskplaner; durch die periodische Ausführung stellt der Angreifer sicher, dass die Malware auch nach Neustarts oder Teilbereinigungen immer wieder nachgeladen wird.
Im nächsten Schritt wird ein ELF-Binary mit dem Namen kad auf das Gerät geladen, der eigentliche Bot-Client. Nach dem Start führt dieser mehrere Prüfungen durch:
— Ermittlung der externen IP-Adresse: So erkennt der Bot, unter welcher öffentlichen IP das Gerät im Internet sichtbar ist – eine entscheidende Information für den späteren Einsatz als Proxy-Knoten.
— Abfrage mehrerer NTP-Server: Über das Network Time Protocol (NTP) bezieht KadNap die aktuelle Netzwerkzeit und vergleicht sie mit der lokalen Systemzeit. Abweichungen können auf fehlende Synchronisation oder unzuverlässige Systeme hinweisen.
Durch diese Zeitabgleiche können Angreifer ihre Aktivitäten – etwa koordinierte DDoS-Angriffe oder Login-Bruteforce-Kampagnen – zeitlich präzise steuern. Zugleich wird es für Verteidiger schwieriger, Attacken allein anhand wiederkehrender Zeitmuster zu erkennen.
KadNap setzt auf Kademlia DHT: Versteckte und robuste C2-Kommunikation
Eine der technisch interessantesten Komponenten von KadNap ist der Einsatz einer angepassten Implementierung des Kademlia-DHT-Protokolls (Distributed Hash Table). Ein DHT ist ein verteiltes System zur Zuordnung von Schlüsseln zu Werten: Jeder Teilnehmer hält nur einen kleinen Teil der Daten, der Gesamtbestand ist über viele Knoten verteilt.
Im Kontext eines Botnetzes bedeutet dies, dass Informationen zu Command-and-Control-Servern – etwa deren IP-Adressen oder kryptografische Schlüssel – innerhalb der P2P-Struktur „versteckt“ werden. KadNap-Bots fragen also nicht einfach eine feste Liste von C2-Servern ab, sondern suchen diese dynamisch über die DHT-Struktur. Für Sicherheitsbehörden und Provider wird es dadurch deutlich schwerer, die gesamte Infrastruktur zu identifizieren und zu blockieren.
Architekturschwäche: Zentrale Einstiegspunkte in die P2P-Struktur
Trotz des verteilten Designs konnten die Forscher eine architektonische Schwachstelle identifizieren. Bevor ein Bot vollwertig an der Kademlia-DHT-Überlagerung teilnimmt, muss er zwingend zwei vordefinierte Knoten kontaktieren. Diese fungieren faktisch als Einstiegspunkte in das P2P-Netz.
Damit unterläuft KadNap teilweise den eigenen Dezentralisierungsanspruch. Für Verteidiger eröffnet dies jedoch eine Möglichkeit: Werden diese Einstiegsknoten umfassend überwacht und blockiert, lässt sich ein grosser Teil der KadNap-Kommunikation stören oder frühzeitig erkennen. Ähnliche „Bootstrapping“-Schwachstellen wurden in der Vergangenheit bereits erfolgreich genutzt, um P2P-Botnetze wie GameOver Zeus zu zerschlagen – ein Ansatz, den auch CERTs und Strafverfolgungsbehörden heute verstärkt verfolgen.
Verbindung zu Doppelganger: KadNap als Backend für ein Proxy-Geschäftsmodell
Die Analysten sehen deutliche Hinweise darauf, dass das KadNap-Botnet mit dem Residential-Proxy-Dienst Doppelganger in Zusammenhang steht. Dieser Dienst vermarktet den Zugang zu kompromittierten Heim- und Bürogeräten als „legitime“ Proxy-Endpunkte. Doppelganger wird zudem als möglicher Rebrand des bekannten Dienstes Faceless betrachtet, der zuvor mit der Router-Malware TheMoon in Verbindung gebracht wurde – ebenfalls mit einem Schwerpunkt auf Asus-Routern.
Wozu Cyberkriminelle Residential-Proxys nutzen
Residential-Proxys sind für Cyberkriminelle attraktiv, weil der Datenverkehr scheinbar von realen Endkundenanschlüssen stammt. Dadurch lassen sich IP-basierte Schutzmechanismen grosser Plattformen deutlich schwieriger umgehen. Typische Einsatzszenarien solcher Botnetze sind:
— DDoS-Angriffe auf Websites, APIs und Online-Dienste, bei denen tausende kompromittierte Router als Traffic-Verstärker dienen.
— Bruteforce- und Credential-Stuffing-Angriffe gegen Benutzerkonten, bei denen Login-Versuche über ständig wechselnde „harmlos“ wirkende IPs laufen.
— Mass-Scraping, Ad-Fraud und automatisierter Missbrauch von Webdiensten, etwa zum Abgreifen von Preisdaten, Ticketkontingenten oder Werbeprämien.
Für Betreiber betroffener Router ist besonders kritisch, dass ihr Anschluss effektiv zum Tarnnetz für Straftaten wird. Dies kann zu Abmahnungen, Sperren oder Ermittlungen führen, obwohl die eigentlichen Aktivitäten von Angreifern ausgehen.
Massnahmen von Providern und konkrete Schutzempfehlungen
Lumen Technologies berichtet, in seiner eigenen Infrastruktur bereits sämtlichen bekannten KadNap-Datenverkehr zu und von den identifizierten C2-Komponenten blockiert zu haben. Darüber hinaus sollen Indikatoren einer Kompromittierung (Indicators of Compromise, IoCs) veröffentlicht werden, damit andere Provider, Unternehmen und CSIRTs befallene Systeme erkennen und filtern können.
Für Betreiber von Heim- und Büro-Routern – insbesondere Asus-Kunden – lassen sich mehrere wirksame Schutzmassnahmen ableiten:
— Firmware aktuell halten: Regelmässig auf Updates prüfen und Sicherheits-Patches zeitnah installieren. Hersteller wie Asus schliessen damit bekannte Schwachstellen, die von Botnetzen ausgenutzt werden.
— Standard-Zugangsdaten ändern: Werkseitige Admin-Logins und -Passwörter durch einzigartige, starke Zugangsdaten ersetzen und Passwort-Wiederverwendung vermeiden.
— Remote-Administration deaktivieren: Fernzugriff nur aktivieren, wenn zwingend erforderlich, und dann auf vertrauenswürdige IPs beschränken.
— Überflüssige Dienste abschalten: UPnP und andere aus dem Internet erreichbare Funktionen nur nutzen, wenn sie geschäftlich notwendig sind.
— Netzwerkverkehr überwachen: Ungewöhnliche ausgehende Verbindungen, insbesondere zu unbekannten IP-Adressen oder auffälligen NTP-Servern, prüfen und bei Bedarf durch die IT-Abteilung oder das Security-Team analysieren lassen.
— Komplett-Reset bei Verdacht: Bei Anzeichen einer Infektion (z.B. unerklärlich hohe Auslastung, Warnungen vom Provider) den Router auf Werkseinstellungen zurücksetzen, die neueste Firmware einspielen und anschliessend sicher neu konfigurieren.
Der Fall KadNap verdeutlicht, dass Heim- und SOHO-Router längst zu einem strategischen Ziel von Cyberkriminellen geworden sind. Wer seine Infrastruktur schützen will – ob als Privatanwender, kleines Unternehmen oder Provider – sollte Router-Sicherheit nicht länger als Randthema betrachten. Es lohnt sich, jetzt Firmware, Konfiguration und Monitoring zu überprüfen und interne Prozesse so anzupassen, dass verdächtiger Traffic frühzeitig auffällt. So sinkt das Risiko deutlich, dass der eigene Internetanschluss unbemerkt Teil eines kommerziellen Proxy-Botnetzes wie KadNap und Doppelganger wird.
