Kimwolf Androidボットネット、住宅プロキシネットワークを介して勢力拡大

yab

2026.01.06

Kimwolf Androidボットネット、住宅プロキシネットワークを介して勢力拡大

SecurityWeek – January 5, 2026

サイバーセキュリティ企業Synthientは、Kimwolfボットネットに関する詳細を公開し、その内部構造や感染経路、住宅用プロキシエコシステムへの依存などについて得られた知見を共有した。

Kimwolfボットネットは遅くとも2025年8月から活動を続けており、同企業によると主に住宅用プロキシネットワークを通じてすでに200万台以上のAndroidデバイスが感染し、毎週約1,200万件の固有IPアドレスがボットネットに関連づけられている。

デバイスの多くは住宅ネットワークに設置されたAndroid TV用セットトップボックス（STB）であり、アプリケーションのインストールやプロキシ帯域幅の販売のような収益化の方法もオペレーターに提供されているとみられている。例えば、Kimwolfの運営者は感染デバイスをDDoS攻撃に悪用するだけでなく、住宅用プロキシを1Gbあたり0.20セント（約0.3円）で販売している。

同社の分析によると、KimwolfはAndroid Debug Bridge（ADB）サービスの脆弱性を悪用しており、ベトナム・ブラジル・インド・サウジアラビアを中心に感染を拡大している。また、感染の多くは、中国を拠点とする住宅プロキシネットワーク大手「IPIDEA」がレンタル用に提供しているプロキシIPアドレスに関連しているとのこと。

このボットネットは非公式のAndroid TV用STBを標的にしており、このようなSTBは安価である一方、安全でないコンポーネントをプロキシノードに変換するソフトウェアを利用者にインストールさせる。新たにボットネットに組み込まれたSTBの多くは最初からマルウェアに感染した状態で販売されており、IPIDEAの正規のバイナリではなく、Kimwolfボット用に改造されたバイナリが実装されていたそう。12月下旬、IPIDEAはこの問題に対処すべく、多くの公開ポートへのアクセスをブロックするパッチを導入した。

加えて、Synthientは12月17日に、大手プロキシプロバイダー11社に脆弱性に関するメールを送付したとのこと。通知を受けたプロバイダーの多くがローカルネットワーク上のデバイスへのアクセスをある程度許可していたことが明らかになった。IPIDEAはすべてのポートへのアクセスを可能にしていたため標的になったとみられる。Synthientは、Kimwolfの運営者により販売される帯域幅が複数のプロキシプロバイダーによって安価で転売されていることなども踏まえ、このような事例は脅威アクターと商用プロキシプロバイダーの関係が深まっていることの表れだと指摘している。