Исследователи зафиксировали появление ботнета KadNap, нацеленного прежде всего на маршрутизаторы Asus и другие сетевые устройства. С августа 2025 года вредоносная кампания успела заразить около 14 000 устройств, превращая их в узлы сети резидентных прокси для маскировки вредоносного трафика.
Масштаб ботнета KadNap и основные цели атак
По данным аналитиков Black Lotus Labs (Lumen Technologies), KadNap организует заражённые устройства в peer-to-peer (P2P) ботнет, то есть в распределённую сеть без единого центра управления. Особый интерес злоумышленников вызывают именно маршрутизаторы Asus: почти половина всей управляющей инфраструктуры ботнета выделена специально под устройства этого производителя, тогда как остальные девайсы подключаются к двум отдельным серверам управления (C2).
Большая часть обнаруженных узлов KadNap (около 60%) расположена в США, значимые кластеры также отмечены на Тайване и Гонконге. Такое распределение характерно для ботнетов, использующих домашние и офисные маршрутизаторы: они обеспечивают стабильный канал связи и выглядят как обычный пользовательский трафик.
Как происходит заражение устройств ботнетом KadNap
Цепочка заражения начинается с загрузки вредоносного скрипта aic.sh с IP-адреса 212.104.141[.]140. Этот скрипт закрепляется в системе через cron job — регулярное задание планировщика, которое запускается каждые 55 минут. Такая периодичность позволяет атакующему обеспечить устойчивость малвари: даже если часть процессов будет остановлена, скрипт перезапустит их автоматически.
Закрепление в системе и сбор технических данных
После первоначального этапа на устройство загружается ELF-бинарник kad — основной клиент ботнета KadNap. После запуска он:
— определяет внешний IP-адрес хоста, чтобы понимать, как устройство видно в интернете,
— обращается к нескольким NTP-серверам, чтобы получить текущее время,
— сопоставляет сетевое время с временем работы системы.
Такая проверка позволяет злоумышленникам оценивать стабильность устройства и, при необходимости, синхронизировать вредоносную активность (например, участие в DDoS) по времени, снижая эффективность простых методов детектирования по расписанию атак.
Использование Kademlia DHT: скрытый канал связи KadNap
Ключевая особенность KadNap — применение кастомной реализации протокола Kademlia DHT (Distributed Hash Table). DHT — это распределённая «хеш-таблица», при которой каждый узел сети хранит лишь часть информации, а данные «размазаны» по множеству участников. В контексте ботнета это означает, что IP-адреса управляющих серверов (C2) маскируются внутри P2P-сети и не видны напрямую.
Исследователи подчёркивают, что заражённые устройства используют эту DHT-сеть для поиска C2-узлов, а не обращаются к фиксированному списку адресов. Это серьёзно осложняет блокировку инфраструктуры: стандартные методы, основанные на выявлении единичных командных серверов и их последующем бане, становятся менее эффективными.
Слабое место реализации KadNap
В то же время аналитики Black Lotus Labs обнаружили архитектурную слабость: реализация Kademlia в KadNap предполагает обязательное постоянное подключение к двум определённым узлам перед тем, как бот выйдет на реальные управляющие сервера. Это частично подрывает идею полной децентрализации и даёт защитникам точку опоры — отслеживая эти узлы, можно выявлять значительную часть управляющей инфраструктуры и выстраивать эффективные блокировки.
Связь KadNap с сервисом резидентных прокси Doppelganger
По оценке специалистов, KadNap, вероятно, связан с сервисом Doppelganger, предоставляющим доступ к заражённым устройствам в формате резидентных прокси. Doppelganger рассматривается как потенциальный ребрендинг уже известного сервиса Faceless, ранее ассоциированного с малварью TheMoon, которая также специализировалась на компрометации маршрутизаторов Asus.
Как киберпреступники используют резидентные прокси
Резидентные прокси позволяют злоумышленникам направлять вредоносный трафик через реальные домашние и офисные IP-адреса, создавая дополнительный слой псевдоанонимности и помогая обходить блокировки и фильтры. Такие сети часто применяются для:
— DDoS-атак на веб-ресурсы и онлайн-сервисы,
— брутфорса и атак типа credential stuffing на учетные записи пользователей,
— массового парсинга сайтов, скликивания рекламы и другой мошеннической активности.
Поскольку трафик исходит с «обычных» пользовательских IP-адресов роутеров Asus и других устройств, его сложнее отличить от легитимного, что повышает ценность таких прокси на подпольных рынках.
Ответ операторов связи и рекомендации по защите
Компания Lumen Technologies заявляет, что уже приняла технические меры против KadNap и заблокировала весь сетевой трафик к управляющей инфраструктуре ботнета и от неё в своей сети. Для помощи другим организациям планируется публикация подробного списка индикаторов компрометации (IoC), по которым можно выявлять заражённые устройства и вредоносные соединения.
Как защитить маршрутизаторы Asus и другие сетевые устройства от KadNap
Владельцам домашних и офисных маршрутизаторов, особенно Asus, имеет смысл предпринять ряд шагов по снижению риска заражения:
— регулярно обновлять прошивку устройства до актуальных версий;
— сменить стандартные логины и пароли администратора на уникальные и сложные;
— отключить удалённое администрирование, если оно не требуется;
— ограничить UPnP и ненужные сервисы, доступные из интернета;
— отслеживать аномальный исходящий трафик (особенно к неизвестным IP и NTP-серверам);
— при подозрении на компрометацию выполнить сброс к заводским настройкам и повторную безопасную настройку роутера.
Инцидент с KadNap демонстрирует, что домашние и малые офисные маршрутизаторы остаются одним из ключевых звеньев в инфраструктуре киберпреступников. Усиление защиты таких устройств, внедрение регулярного мониторинга и использование актуальных рекомендаций по кибербезопасности позволяют существенно снизить вероятность того, что личная или корпоративная сеть станет частью очередного прокси-ботнета.
