Selon Xlab (rapport technique publié le 19 décembre 2025), un nouvel échantillon de botnet Android nommé « Kimwolf » a été reçu le 24 octobre 2025, autour d’un C2 au domaine 14emeliaterracewestroxburyma02132[.]su qui a atteint la 1re place du classement de popularité Cloudflare, signe d’une activité massive. Kimwolf cible principalement des boîtiers TV Android, intègre des fonctions de DDoS, proxy, reverse shell et gestion de fichiers, et met en œuvre des techniques d’évasion (chiffrement simple par XOR, DNS-over-TLS, authentification ECDSA côté C2, et migration vers ENS pour la résilience du C2).

• Échelle et impact. Xlab a pris le contrôle d’un C2 le 1er décembre et a observé 3,66 M d’IP cumulées, avec un pic journalier à 1 829 977 IP le 4 décembre. En raison d’IP dynamiques, de multiples C2, fuseaux horaires et versions, Xlab estime de façon conservatrice plus de 1,8 million d’appareils infectés. Les infections couvrent 222 pays/régions, avec en tête le Brésil (14,63 %), l’Inde (12,71 %), les États‑Unis (9,58 %), l’Argentine (7,19 %), l’Afrique du Sud (3,85 %), etc. La majorité des commandes sert le proxy (96,5 %), avec des DDoS ponctuels.

• Activité et capacité DDoS. Entre le 19 et le 22 novembre, Kimwolf a diffusé 1,7 milliard de commandes DDoS « en spray ». Deux événements majeurs ont confirmé sa participation: un 2,3 Bpps le 23 novembre (≈450 000 IP) et une attaque « proche de 30 Tbps et 2,9 Gpps » le 9 décembre. Après des démantèlements répétés de C2 début décembre, les opérateurs ont basculé vers ENS (« we have 100s of servers keep trying LOL! ») pour durcir l’infrastructure.

• Techniques et protocoles (TTPs). Écrit via NDK, wolfSSL, binaire packé UPX, Kimwolf chiffre ses chaînes par XOR en pile, résout les C2 via DoT (port 853, 8.8.8.8/1.1.1.1), chiffre les communications en TLS avec un handshake WebSocket initial, puis une trame applicative « Header + Body » (Magic « DPRK » → « FD9177FF » → « AD216CD4 »). L’authentification C2 repose sur une signature elliptique vérifiée par clé publique embarquée (étapes register/verify/confirm). La v5 ajoute un XOR sur l’IP de résolution (ex.: rtrdedge1.samsungcdn[.]cloud). Le 12 décembre, Kimwolf a introduit ENS (pawsatyou[.]eth) avec C2 encodé dans un champ « lol » et obfuscation XOR sur les 4 derniers octets IPv6. Contrôle d’instance unique via socket Unix @niggaboxv[number] et processus déguisés en netd_services/tv_helper. La persistance côté Android s’appuie sur un boot receiver (com.n2.systemservice0644) et exécution d’un binaire via su.

• Lien avec Aisuru et monétisation. Xlab relie « Kimwolf » au botnet Aisuru: APKs avec mêmes artefacts (resource ID libniggakernel, noms de paquets com.n2.systemservice06x), binaires prépositionnés (c0.so/ji.so/q8.so) correspondant à Aisuru, certificat de signature partagé (SHA1 182256bca46a5c02def26550a154561ec5b2b983), réutilisation d’infrastructure Reporter « tiananmeng », et scripts de downloader associant directement mreo31.apk (kimwolf) et meow217 (aisuru). Des composants additionnels incluent un client de commande en Rust (réseau de proxy) et l’intégration du ByteConnect SDK pour monétiser la bande passante (estimation fournie par ByteConnect: ≈88 200 $ mensuels à l’échelle annoncée).

• IOCs et TTPs clés

IOCs principaux

  • Domaines/C2: 14emeliaterracewestroxburyma02132[.]su; api.groksearch[.]net; nnkjzfaxkjanxzk.14emeliaterracewestroxburyma02132[.]su; zachebt.chachasli[.]de; zachebt.groksearch[.]net; rtrdedge1.samsungcdn[.]cloud; fuckzachebt.meowmeowmeowmeowmeow.meow.indiahackgod[.]su; staging.pproxy1[.]fun; sdk-dl-prod.proxiessdk[.]online; sdk-dl-production.proxiessdk[.]store; lol.713mtauburnctcolumbusoh43085[.]st; lolbroweborrowtvbro.713mtauburnctcolumbusoh43085[.]st; pawsatyou[.]eth (ENS).
  • Composants/CC supplémentaires: proxy-sdk.14emeliaterracewestroxburyma02132[.]su:443; sdk-bright.14emeliaterracewestroxburyma02132[.]su:443.
  • IPs Downloader: 93.95.112.50–55, 93.95.112.59 (AS397923 - Resi Rack L.L.C.).
  • Certificat APK: SHA1 182256bca46a5c02def26550a154561ec5b2b983.
  • Noms de paquets APK observés: com.n2.systemservice062 / 063 / 0644.
  • Processus/instance: netd_services, tv_helper; socket Unix @niggaboxv[number].
  • Group ID exemple: “android-postboot-rt”.
  • Magic protocoles: “DPRK” → “FD9177FF” → “AD216CD4”.
  • Hashes (sélection; voir liste complète dans l’article): APK MD5 ex. 887747dc1687953902488489b805d965; 8011ed1d1851c6ae31274c2ac8edfc06; SO/ELF ex. 2078af54891b32ea0b1d1bf08b552fe8; 1c03d82026b6bcf5acd8fc4bcf48ed00; Rust ex. b1d4739d692d70c3e715f742ac329b05; Downloader e4be95de21627b8f988ba9b55c34380c.

TTPs notables

  • Évasion et résilience C2: DNS-over-TLS, TLS bout‑à‑bout, WebSocket initial, signature ECDSA pour l’auth C2, XOR d’IP de résolution, ENS/EtherHiding pour la redondance de C2.
  • Chiffrement/obfuscation: XOR en pile des chaînes sensibles; binaire UPX; chaînes/artefacts internes variables.
  • Persistance/loader Android: boot receiver, extraction/écriture d’un binaire (ex. ji.so), exécution via su.
  • Fonctionnalités: proxy TCP/UDP, reverse shell, file read/write, DDoS (13 méthodes, format Mirai‑like).
  • Ciblage: Android TV/box grand public, distribution mondiale.

Type d’article et objectif: analyse technique/analyse de menace publiée par Xlab visant à « briser le silence » autour de Kimwolf, partager l’intelligence, documenter l’ampleur/les TTPs, et mobiliser la communauté contre la menace.

🧠 TTPs et IOCs détectés

TTP

[‘DDoS’, ‘Proxy’, ‘Reverse Shell’, ‘File Management’, ‘Encryption (XOR)’, ‘DNS-over-TLS’, ‘ECDSA Authentication’, ‘ENS for C2 Resilience’, ‘TLS Communication’, ‘WebSocket Handshake’, ‘UPX Packed Binary’, ‘Boot Receiver for Persistence’, ‘Execution via su’, ‘Obfuscation of IP Resolution’, ‘Unix Socket Communication’]

IOC

{‘domains’: [‘14emeliaterracewestroxburyma02132[.]su’, ‘api.groksearch[.]net’, ’nnkjzfaxkjanxzk.14emeliaterracewestroxburyma02132[.]su’, ‘zachebt.chachasli[.]de’, ‘zachebt.groksearch[.]net’, ‘rtrdedge1.samsungcdn[.]cloud’, ‘fuckzachebt.meowmeowmeowmeowmeow.meow.indiahackgod[.]su’, ‘staging.pproxy1[.]fun’, ‘sdk-dl-prod.proxiessdk[.]online’, ‘sdk-dl-production.proxiessdk[.]store’, ’lol.713mtauburnctcolumbusoh43085[.]st’, ’lolbroweborrowtvbro.713mtauburnctcolumbusoh43085[.]st’, ‘pawsatyou[.]eth’], ‘ips’: [‘93.95.112.50’, ‘93.95.112.51’, ‘93.95.112.52’, ‘93.95.112.53’, ‘93.95.112.54’, ‘93.95.112.55’, ‘93.95.112.59’], ‘certificate’: ‘SHA1 182256bca46a5c02def26550a154561ec5b2b983’, ‘package_names’: [‘com.n2.systemservice062’, ‘com.n2.systemservice063’, ‘com.n2.systemservice0644’], ‘processes’: [’netd_services’, ’tv_helper’], ‘unix_socket’: ‘@niggaboxv[number]’, ‘hashes’: [‘887747dc1687953902488489b805d965’, ‘8011ed1d1851c6ae31274c2ac8edfc06’, ‘2078af54891b32ea0b1d1bf08b552fe8’, ‘1c03d82026b6bcf5acd8fc4bcf48ed00’, ‘b1d4739d692d70c3e715f742ac329b05’, ’e4be95de21627b8f988ba9b55c34380c’]}

🔗 Source originale : https://blog.xlab.qianxin.com/kimwolf-botnet-en/