Das Kimwolf-Botnet, bestehend aus Millionen infizierter IoT-Geräte, hat das Anonymitätsnetzwerk I2P diese Woche durch einen Sybil-Angriff mit 700.000 gefälschten Knoten lahmgelegt. Die Botnet-Betreiber wollten das Netzwerk als Ausweichkommunikationskanal nutzen, um sich Takedown-Maßnahmen zu entziehen.
Das massive IoT-Botnet Kimwolf sorgt seit einer Woche für erhebliche Störungen im Invisible Internet Project (I2P), einem dezentralisierten Verschlüsselungsnetzwerk für anonyme Online-Kommunikation. Die Probleme begannen, als die Botnet-Betreiber das I2P-Netzwerk als Ausweichkanal für ihre Command-and-Control-Server nutzen wollten, um Sicherheitsmaßnahmen zu umgehen.
Kimwolf tauchte Ende 2025 auf und infizierte rasch Millionen von Systemen – hauptsächlich schlecht gesicherte IoT-Geräte wie Streaming-Boxen, digitale Bilderrahmen und Router. Diese wurden zu Relais für bösartigen Datenverkehr und massive DDoS-Attacken missbraucht.
Am 3. Februar meldeten I2P-Nutzer auf GitHub, dass Zehntausende neuer Router das Netzwerk überlagerten und dessen Funktionsfähigkeit gefährdet würden. Die Verbindungszahl schnellte in die Höhe, während die neuen Knoten keine Daten übertragen konnten. Ein Nutzer berichtete, dass sein Router bei über 60.000 Verbindungen einfroh.
Am selben Tag gab der Kimwolf-Operator in einem Discord-Kanal zu, dass er versehentlich 700.000 infizierte Bots als I2P-Knoten integriert hatte – ein klassischer Sybil-Angriff, bei dem eine Entität ein Peer-to-Peer-Netzwerk durch massenhafte Fake-Identitäten lahmlegt.
Zum Vergleich: Das I2P-Netzwerk umfasst normalerweise etwa 15.000 bis 20.000 aktive Geräte täglich. Die plötzliche Hinzufügung hunderttausender neuer Knoten war somit ein Vielfaches der regulären Netzwerkgröße.
Lance James, Gründer der Cybersecurity-Beratung Unit 221B und Originalentwickler von I2P, bestätigte gegenüber KrebsOnSecurity die massiven Auswirkungen. Das Netzwerk arbeitet derzeit nur noch mit etwa der Hälfte seiner normalen Kapazität.
Benjamin Brundage von Synthient, das auf Proxy-Dienste spezialisiert ist und Kimwolfs Ausbreitungsmethoden dokumentiert, erklärte, dass die Botnet-Betreiber ein Command-and-Control-Netzwerk aufbauen möchten, das Sicherheitsunternehmen nicht leicht abschalten können. Neben I2P experimentieren sie auch mit dem Tor-Netzwerk als Backup-Kommunikationskanal.
Eine gute Nachricht gibt es dennoch: Die Botnet-Operatoren scheinen kürzlich kompetente Entwickler verloren zu haben. Ein kritischer Fehler führte dazu, dass Kimwolfs Infektionszahl um über 600.000 Systeme sank. “Sie wirken wie Anfänger, die einfach Experimente in Produktivumgebungen durchführen”, so Brundage. “Die Zahlen fallen deutlich, und sie wissen offenbar nicht, was sie tun.”
Quelle: Krebs on Security