Source : KrebsOnSecurity (2 janv. 2026). L’article synthétise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opérant à grande échelle.

Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boîtiers Android TV non officiels et des cadres photo connectés. Les machines infectées servent à relayer du trafic abusif (fraude publicitaire, prises de contrôle de comptes, scraping) et à lancer des DDoS massifs. Les infections sont concentrées notamment au Brésil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient).

La propagation tient à une méthode « diabolique » : Kimwolf tunnelise via des réseaux de proxies résidentiels jusqu’aux LAN des points de terminaison, en contournant les blocages RFC1918 par des réglages DNS pointant vers des adresses internes (ex. 192.168.0.1, 0.0.0.0). Les assaillants scannent alors les réseaux locaux et exploitent des appareils exposés. Synthient a observé un chevauchement fort avec le pool d’IP d’IPIDEA, et documente des reconstructions rapides du botnet en quelques jours via ces endpoints.

Côté appareils, de nombreux boîtiers Android TV et cadres photo Android (app Uhale) sont livrés avec malwares préinstallés ou nécessitent des boutiques/apps non officielles. Surtout, beaucoup sortent d’usine avec ADB activé et sans authentification sur le port 5555, offrant un accès administrateur distant. Des modèles comme Superbox laissent ADB sur localhost:5555. Quokka avait déjà signalé en 11/2025 de graves failles sur des cadres photo Android.

Réponses des fournisseurs : IPIDEA indique avoir corrigé un module hérité autorisant l’accès interne, bloqué la résolution DNS vers des IP privées et filtré des ports à risque ; Oxylabs dit avoir déployé des mitigations similaires (sans preuve d’exploitation observée chez eux). Des parallèles sont faits avec l’ex‑réseau 911S5 (et 922 Proxy) et, en toile de fond, les campagnes BADBOX (poursuites Google 07/2025, alerte FBI 06/2025). XLab suit Kimwolf depuis 10/2025, notant un fort volume de requêtes DNS vers des domaines de C2 transitant par Cloudflare.

IOCs

  • Domaine : 14emeliaterracewestroxburyma02132[.]su
  • Port/Service : ADB exposé sur 5555 (souvent sans auth)
  • Indice de livraison : phrase « krebsfiveheadindustries » utilisée pour déverrouiller le téléchargement du payload

TTPs

  • Abus de proxies résidentiels pour pivoter vers des LAN derrière NAT
  • Bypass RFC1918 via enregistrements DNS pointant vers adresses privées
  • Scan LAN puis exploitation d’ADB ouvert pour installation de malware
  • Monétisation : DDoS‑for‑hire, fraude publicitaire, vente de bande passante proxy, app installs

Il s’agit d’une analyse de menace visant à documenter l’ampleur, les techniques de propagation et les infrastructures impliquées dans Kimwolf, ainsi que les réactions initiales des fournisseurs de proxy.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de proxies résidentiels pour pivoter vers des LAN derrière NAT’, ‘Bypass RFC1918 via enregistrements DNS pointant vers adresses privées’, ‘Scan LAN puis exploitation d’ADB ouvert pour installation de malware’, ‘Monétisation : DDoS-for-hire, fraude publicitaire, vente de bande passante proxy, app installs’]

IOC

[‘Domaine : 14emeliaterracewestroxburyma02132[.]su’, ‘Port/Service : ADB exposé sur 5555 (souvent sans auth)’, ‘Indice de livraison : phrase « krebsfiveheadindustries » utilisée pour déverrouiller le téléchargement du payload’]

🔗 Source originale : https://krebsonsecurity.com/2026/01/the-kimwolf-botnet-is-stalking-your-local-network/