قام الباحثون بتوثيق نشاط واسع النطاق لشبكة الروبوتات Kimwolf Android، والتي تشير تقديرات شركة Synthient إلى أنها أصابت أكثر من مليوني جهاز. علاوة على ذلك، فهو لا يفعل ذلك بشكل مباشر، بل بذكاء – من خلال شبكة من الوكلاء المقيمين، مما يخفي الهجمات على أنها حركة مرور منتظمة للمستخدم.
وفقًا للمحللين، يعمل مشغلو Kimwolf على تحقيق الدخل من شبكة الروبوتات في عدة اتجاهات في وقت واحد: بيع عمليات تثبيت التطبيقات، واستئجار حركة مرور الوكيل السكنية وتوفير خدمات هجوم DDoS. وبالحكم على الحجم، هناك طلب على كل هذا.
تم وصف Kimwolf علنًا لأول مرة من قبل خبراء QiAnXin XLab منذ شهر واحد فقط، مما لفت الانتباه إلى ارتباطه بشبكة روبوت أخرى – AISURU. يعتبر الباحثون الآن أن Kimwolf هو إصدار Android لهذه الشبكة. علاوة على ذلك، هناك سبب للاعتقاد بأنه الشخص الذي يقف وراء السلسلة القياسية لهجمات DDoS المسجلة في نهاية العام الماضي.
تصبح الأجهزة المصابة “عقد نقل” لحركة المرور الضارة ويتم استخدامها لهجمات DDoS على نطاق صناعي. المراكز الرئيسية للعدوى هي فيتنام والبرازيل والهند والمملكة العربية السعودية. يشير Synthient إلى أن شبكة الروبوتات هذه تعمل على تشغيل ما يقرب من 12 مليون عنوان IP فريد أسبوعيًا.
نقطة الدخول الرئيسية هي Android Debug Bridge (ADB)، وهو مفتوح وغير محمي. أكثر من 67% من الأجهزة الموجودة في شبكة الروبوتات تم تمكين ADB لها دون مصادقة. يقوم المهاجمون بفحص الشبكة باستخدام البنية التحتية القائمة على الوكيل ويقومون بتثبيت البرامج الضارة مباشرة. في خطر، تكون أجهزة الاستقبال غير الرسمية وأجهزة التلفزيون الذكية، والتي غالبًا ما تأتي مع أدوات تطوير البرمجيات (SDK) مشكوك فيها.
ومما يثير الاهتمام بشكل خاص ارتباط الحملة بخدمات الوكيل التجارية. في ديسمبر 2025، كان الفيروس الذي أصاب Kimwolf يستخدم بشكل نشط عناوين IP التي استأجرتها الشركة الصينية IPIDEA، وهي مزود وكيل كبير يضم الملايين من عناوين IP المحدثة. بعد الحادث، أغلقت IPIDEA الوصول إلى الشبكة المحلية والمنافذ الحساسة، ولكن وفقًا للباحثين، كان الضرر قد حدث بالفعل بحلول ذلك الوقت.
الخطة بسيطة: من خلال شبكة الوكيل، يخترق المهاجم الشبكة الداخلية للجهاز المثبت عليه برنامج الوكيل ويقوم بتنزيل الحمولة الرئيسية. يستمع على المنفذ 40860 ويتصل بخادم الأوامر والتحكم لتلقي الأوامر.
تحقيق الدخل لا ينتهي عند هذا الحد. تتلقى الأجهزة المصابة أيضًا خدمة Plainproxies Byteconnect SDK، مما يجعلها مصدرًا لحركة المرور المدفوعة على الإنترنت. وفقًا لـ Synthient، تستخدم البنية التحتية 119 خادمًا للترحيل وتُستخدم لهجمات حشو بيانات الاعتماد على خوادم IMAP وخدمات الويب الشائعة.
وأشار المحللون إلى أن “حجم المشكلة غير مسبوق، حيث يمكن مهاجمة ملايين الأجهزة بشكل أساسي”. “من العلامات المثيرة للقلق بشكل خاص اكتشاف صناديق التلفزيون المصابة بفيروسات مثبتة مسبقًا والروابط الوثيقة بشكل متزايد بين مجرمي الإنترنت ومقدمي خدمات الوكيل التجاري.”
من أجل الحماية، يوصي الخبراء بأن تقوم خدمات الوكيل بحظر المكالمات إلى نطاقات IP الخاصة (RFC 1918)، ويجب على المؤسسات والمستخدمين منع الوصول إلى ADB بشكل صارم وعدم استخدام الأجهزة ذات البرامج الثابتة المشبوهة أو غير الرسمية لنظام Android. وبخلاف ذلك، يمكن أن يصبح التلفزيون أو جهاز الاستقبال بسهولة جزءًا من شبكة الروبوتات الخاصة بشخص آخر.