Infoblox publie une analyse fondée sur sa télémétrie DNS, recoupée avec des recherches de Synthient et un article de KrebsOnSecurity, décrivant comment le botnet Kimwolf abuse des proxies résidentiels et de tours de passe-passe DNS pour sonder des réseaux internes.

  • 🚨 Menace et vecteur: La croissance de Kimwolf est alimentée par l’abus de services de proxies résidentiels (via appareils compromis et applications mobiles dotées de SDK de monétisation de proxy) pour sonder les réseaux Wi‑Fi locaux et viser des appareils vulnérables — principalement des Android TV. Selon Synthient, un « DNS trick » et un large parc d’appareils non sécurisés ont permis la compromission de millions d’appareils domestiques en quelques mois.

  • 🛰️ Télémétrie Infoblox: Entre le 2 septembre et le 3 octobre, environ 5% des clients Infoblox ont émis des requêtes DNS vers un domaine Kimwolf signalé ensuite par Krebs; au fil du temps, l’ampleur a augmenté jusqu’à 8% des clients sur la journée la plus active. Au total, près de 25% des clients cloud ont effectué au moins une requête vers un domaine Kimwolf depuis le 1er octobre, ce qui indique la présence d’endpoints de proxy résidentiel dans ces réseaux et des scans effectués, sans signifier une compromission réussie. Les secteurs touchés vont de l’éducation à la santé, et la portée est mondiale. Certaines requêtes n’étaient pas résolues en raison de politiques de blocage.

  • 🧭 Chronologie et artefacts DNS: Une période creuse est observée d’octobre début à novembre début (confirmée par Synthient). Un nouveau domaine, xd.resi[.]to, apparaît ensuite avec des réponses vers des IP non routables; un autre domaine, xd.mob[.]to, n’a été vu que chez un client le 22 novembre. Fin décembre 2025, de nouveaux domaines apparaissent. Des résolutions vers 127.0.0.1 et 0.0.0.0 avaient initialement été associées (à tort) à Aisuru avant corrélation temporelle et attribution des sondes à Kimwolf.

  • 🧩 Proxies résidentiels impliqués: Deux services mis en avant par Synthient sont IPIDEA (le plus grand service de proxy résidentiel) et Plainproxies (au travers du SDK Byteconnect). À la suite d’une notification de vulnérabilité, IPIDEA a renforcé la sécurité de son produit; Plainproxies n’avait pas répondu au moment de la divulgation (Krebs indique également l’absence de réponse). Indépendamment de Kimwolf, >20% des clients Infoblox ont interrogé l’endpoint IPIDEA renvoyant des infos d’IP, et une douzaine de clients ont interrogé le domaine Plainproxies listant des relais — y compris durant la période sans requêtes vers les domaines Kimwolf.

  • 🧪 Recommandations rapportées: Infoblox préconise l’usage d’un DNS protecteur pour détecter et bloquer les proxies résidentiels, la revue des logs DNS à la recherche de domaines Kimwolf, l’application de politiques bloquant les résolutions bogon et les domaines suspects/malveillants, et la vérification d’adresses IP auprès de Synthient ou d’autres suivis de Kimwolf.

IoCs observés

  • Domaines liés à Kimwolf et aux services abusés:
    • xd.mob[.]to (domaine parké, utilisé apparemment pour des tests)
    • xd.resi[.]to
    • 14emeliaterracewestroxburyma02132[.]su
    • 713mtauburnctcolumbusoh43085[.]st
    • hahaezretard3.713mtauburnctcolumbusoh43085[.]st
    • r.lolbrogg123424[.]com
    • ipinfo[.]ipidea[.]io (endpoint d’un service de proxy résidentiel abusé)
    • new-endpoints.byteconnect[.]io (endpoint d’un service de proxy résidentiel abusé)
  • Résolutions IP non routables observées: 127.0.0.1, 0.0.0.0

TTPs mis en évidence

  • Abus de proxies résidentiels pour relayer des commandes et scans via des endpoints internes (appareils compromis/app mobiles avec SDK proxy).
  • Sondage de réseaux locaux par le biais de requêtes DNS et de résolutions vers des IP non routables (bogon) pour atteindre des cibles internes.
  • Ciblage d’appareils Android TV vulnérables comme principaux nœuds de compromission.
  • Contexte comparatif (Aisuru): utilisation de DNS TXT pour la C2 et de Google DoH (sans indication d’empreinte significative chez les clients Infoblox).

Il s’agit d’une analyse de menace visant à partager des observations télémétriques, des indicateurs et des recommandations sur l’abus de proxies résidentiels par Kimwolf.

🧠 TTPs et IOCs détectés

TTP

Abus de proxies résidentiels pour relayer des commandes et scans via des endpoints internes (appareils compromis/app mobiles avec SDK proxy). Sondage de réseaux locaux par le biais de requêtes DNS et de résolutions vers des IP non routables (bogon) pour atteindre des cibles internes. Ciblage d’appareils Android TV vulnérables comme principaux nœuds de compromission.

IOC

xd.mob[.]to, xd.resi[.]to, 14emeliaterracewestroxburyma02132[.]su, 713mtauburnctcolumbusoh43085[.]st, hahaezretard3.713mtauburnctcolumbusoh43085[.]st, r.lolbrogg123424[.]com, ipinfo[.]ipidea[.]io, new-endpoints.byteconnect[.]io, 127.0.0.1, 0.0.0.0

🔗 Source originale : https://www.infoblox.com/blog/threat-intelligence/kimwolf-howls-from-inside-the-enterprise/