Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises.

• Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité.

• Vecteur et surface d’attaque: Le botnet a détourné des proxies résidentiels (principalement IPIDEA, service chinois) en faisant relayer des commandes vers les LAN des endpoints proxy, puis en scannant automatiquement ces réseaux pour infecter des appareils vulnérables. Les boîtiers Android TV non officiels (AOSP, non certifiés Play Protect) sont les plus touchés: nombre d’entre eux embarquent des logiciels de proxy résidentiel préinstallés et n’ont ni sécurité ni authentification effectives.

• Prévalence en environnements sensibles: Malgré la nature « grand public » des boîtiers touchés, Infoblox a observé que près de 25% de ses clients ont effectué depuis le 1er octobre 2025 au moins une requête DNS vers un domaine lié à Kimwolf, signe de scans réalisés via des endpoints de proxies résidentiels présents chez eux (sans implication automatique de compromission). Synthient a recensé ~33 000 adresses affectées dans des universités et ~8 000 proxies IPIDEA au sein de réseaux gouvernementaux (États‑Unis et étrangers). Spur a identifié des proxies résidentiels dans ~300 réseaux gouvernementaux, 318 utilities, 166 santé/hôpitaux et 141 banques/finances; de nombreux réseaux appartiennent au DoD américain.

• Impact et risques: Les chercheurs soulignent que la présence d’un seul endpoint de proxy résidentiel dans une organisation peut offrir aux opérateurs de Kimwolf un moyen simple de sonder le LAN puis de pivoter localement si des appareils vulnérables sont accessibles. Même si certains environnements peuvent être segmentés, le risque de mouvement latéral via ces relais demeure un point d’attention.

• Contexte éditorial: Cet article s’inscrit comme le troisième volet d’une série sur Kimwolf, avec un prochain focus annoncé sur « Badbox 2.0 » (modèles de boîtiers Android TV livrés sans sécurité ni authentification, et avec logiciels de proxy préinstallés). Lectures associées citées: « The Kimwolf Botnet is Stalking Your Local Network », « Who Benefitted from the Aisuru and Kimwolf Botnets? », « A Broken System Fueling Botnets (Synthient) ».

IOC(s)

  • Aucun IOC (domaine, IP, hash) explicitement communiqué dans le texte.

TTP(s) observées/rapportées

  • Abus de proxies résidentiels pour relayer des commandes vers des réseaux locaux d’endpoints.
  • Scan programmatique des LAN pour découvrir et infecter des IoT vulnérables (notamment boîtiers Android TV AOSP sans authentification).
  • DDoS à grande échelle, fraude publicitaire, account takeover, mass scraping via le trafic relayé.
  • Mouvement latéral/pivot local depuis des endpoints compromis de services de proxy.

En synthèse, il s’agit d’une analyse de menace visant à documenter l’ampleur, les méthodes et la prévalence de Kimwolf dans des réseaux d’entreprises et d’administrations.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de proxies résidentiels pour relayer des commandes vers des réseaux locaux d’endpoints’, ‘Scan programmatique des LAN pour découvrir et infecter des IoT vulnérables’, ‘DDoS à grande échelle’, ‘Fraude publicitaire’, ‘Account takeover’, ‘Mass scraping via le trafic relayé’, ‘Mouvement latéral/pivot local depuis des endpoints compromis de services de proxy’]

IOC

Aucun IOC (domaine, IP, hash) explicitement communiqué dans le texte

🔗 Source originale : https://krebsonsecurity.com/2026/01/kimwolf-botnet-lurking-in-corporate-govt-networks/