У глобальному інтернеті зафіксовано появу нового ботнету KadNap, який цілеспрямовано атакує насамперед маршрутизатори Asus та інші мережеві пристрої малого офісу й домашнього використання. За даними Black Lotus Labs (Lumen Technologies), з серпня 2025 року зловмисникам вдалося скомпрометувати близько 14 000 пристроїв, перетворивши їх на вузли мережі резидентних проксі для приховування шкідливого трафіку.
Масштаб ботнету KadNap і географія заражених маршрутизаторів Asus
Аналітики фіксують, що KadNap функціонує як P2P-ботнет (peer-to-peer), тобто не має єдиного центра керування. Заражені роутери обмінюються інформацією безпосередньо між собою, що ускладнює відстеження та ліквідацію інфраструктури.
Особлива увага операторів ботнету приділяється саме маршрутизаторам Asus: значна частина контрольних вузлів та допоміжної інфраструктури виділена спеціально під пристрої цього бренду. Інші типи девайсів під’єднуються до окремих C2-серверів, що створює гібридну модель керування – поєднання P2P та централізованого контролю.
Близько 60% виявлених вузлів KadNap розташовані у США, помітні кластери зафіксовані також на Тайвані та в Гонконзі. Подібний розподіл характерний для ботнетів, що експлуатують домашні й офісні маршрутизатори: такий трафік виглядає як типова активність кінцевих користувачів і важче піддається фільтрації.
Ланцюжок зараження: скрипт aic.sh, cron і клієнт ботнету kad
Початкове зараження відбувається через завантаження шкідливого shell-скрипта aic.sh з IP-адреси 212.104.141[.]140. Після потрапляння на пристрій скрипт реєструє себе в cron і запускається кожні 55 хвилин.
Такий підхід до закріплення у системі дає стійкість до перезавантаження, збоїв та спроб часткової очистки: навіть якщо частина процесів буде зупинена, планувальник cron автоматично відновить роботу шкідливого ПЗ.
Далі на пристрій завантажується ELF-бінарний файл kad – основний клієнт ботнету KadNap. Після запуску він виконує низку технічних дій:
— визначає зовнішню IP-адресу пристрою, щоб оцінити його видимість з інтернету;
— звертається до кількох NTP-серверів для отримання точного часу;
— порівнює мережевий час із часом системи для оцінки стабільності роботи.
Синхронізація за часом дозволяє скоординовано запускати масові операції, наприклад DDoS-атаки, і робить менш ефективним виявлення за ознакою «атак у певні години», яке часто застосовується у засобах моніторингу безпеки.
KadNap та Kademlia DHT: як P2P-ботнет приховує інфраструктуру C2
Вирішальною технічною особливістю KadNap є використання кастомної реалізації протоколу Kademlia DHT (Distributed Hash Table). DHT – це розподілена хеш-таблиця, де кожен вузол зберігає лише частину даних, а потрібна інформація «розмазана» по всій мережі.
У контексті ботнету це означає, що IP-адреси серверів керування (C2) не зберігаються у відкритому вигляді. Заражені маршрутизатори використовують DHT для пошуку керуючих вузлів, а не звертаються до фіксованого набору адрес. Такий підхід значно ускладнює ліквідацію інфраструктури порівняно з класичними ботнетами, де достатньо заблокувати кілька доменів чи IP.
Архітектурна вразливість KadNap: «дві опорні точки»
Попри розподілений характер, дослідники Black Lotus Labs виявили суттєву слабкість архітектури: перед тим, як вийти на реальні C2-сервера, клієнт KadNap має встановити стале з’єднання з двома конкретними вузлами. Це частково нівелює переваги повної децентралізації.
Для захисників це створює критичну точку спостереження: моніторинг і блокування цих вузлів дає змогу виявити значну частину мережі KadNap та будувати більш ефективні фільтри трафіку.
Резидентні проксі та зв’язок KadNap з сервісом Doppelganger
Експерти припускають, що ботнет KadNap тісно пов’язаний із сервісом Doppelganger, який продає доступ до заражених пристроїв у форматі резидентних проксі. За попередніми оцінками, Doppelganger може бути ребрендингом уже відомого сервісу Faceless, асоційованого з малварою TheMoon, яка також спеціалізувалась на компрометації маршрутизаторів Asus.
Резидентні проксі дають змогу зловмисникам спрямовувати свій трафік через реальні домашні й офісні IP-адреси. Це створює додатковий рівень псевдоанонімності і значно ускладнює виявлення зловмисної активності: трафік виглядає як типовий запит від легітимного користувача.
Подібні мережі часто використовуються для:
— проведення DDoS-атак на сайти та онлайн-сервіси;
— брутфорсу та credential stuffing проти акаунтів користувачів;
— масового скрейпінгу веб-сайтів, кліків по рекламі та іншого шахрайства.
Реакція провайдерів і практичні рекомендації з захисту маршрутизаторів Asus
Lumen Technologies повідомила, що вже реалізувала технічні заходи проти KadNap, заблокувавши трафік до інфраструктури ботнету та у зворотному напрямку у своїй мережі. Компанія також планує оприлюднити розширений перелік індикаторів компрометації (IoC), які допоможуть іншим організаціям виявляти заражені пристрої.
Власникам маршрутизаторів, особливо Asus, доцільно виконати базовий комплекс заходів кібергігієни, щоби мінімізувати ризик потрапляння до ботнету резидентних проксі:
— регулярно оновлювати прошивку до останньої стабільної версії;
— замінити стандартні admin-логіни та паролі на унікальні, довгі й складні;
— вимкнути віддалене адміністрування, якщо воно не використовується постійно;
— обмежити UPnP та інші непотрібні сервіси, доступні з інтернету;
— періодично аналізувати вихідний трафік, зокрема підозрілі з’єднання з невідомими IP та аномально активне використання NTP;
— при підозрі на компрометацію виконати скидання до заводських налаштувань і провести повторну безпечну конфігурацію маршрутизатора.
Кейс із KadNap демонструє, що домашні й малі офісні маршрутизатори залишаються критично вразливою ланкою інтернет-інфраструктури. Своєчасні оновлення, жорсткі налаштування доступу та регулярний моніторинг мережевої активності суттєво знижують імовірність того, що ваш роутер Asus або інший мережевий пристрій стане частиною чергового P2P-ботнету чи мережі резидентних проксі, подібної до KadNap або Doppelganger.
