Betreiber des Kimwolf-Botnetzes haben nach eigenen Angaben die Kontrolle über das chinesische Badbox-2.0-Botnetz übernommen, das über 10 Millionen Android-TV-Boxen infiziert hat. Recherchen deuten darauf hin, dass zwei Personen — Chen Daihai und Zhu Zhiyu — hinter Badbox 2.0 stecken.
Das Kimwolf-Botnetz, das bereits mehr als 2 Millionen Geräte infiltriert hat, scheint nun auch seine Finger in einem weiteren großen Botnetz zu haben. Die dahinter steckenden Cyberkriminellen prahlten kürzlich damit, dass sie Zugriff auf das Kontrollzentrum von Badbox 2.0 erlangt haben — eines der größten Android-TV-Botnetze, das aus Asien stammt und Millionen von Geräten befallen hat.
Badbox 2.0 ist kein neues Phänomen. Das FBI und Google verfolgen die Operatoren dieses Botnetzes bereits seit geraumer Zeit. Im Juni 2025 warnte das FBI vor Cyberkriminellen, die Heimnetzwerke durch infizierte Android-Geräte kompromittierten, die entweder bereits vor dem Kauf mit Malware versehen oder während der Ersteinrichtung mit bösartigen Apps infiziert wurden. Google reichte im Juli 2025 Klage gegen 25 unbekannte Täter ein, die Badbox 2.0 betrieben — ein Botnetz von über 10 Millionen Streaming-Geräten, die für Advertising-Betrug missbraucht wurden.
Das Original-Badbox-Botnetz wurde 2024 zerschlagen, nachdem es 2023 entdeckt worden war. Badbox 2.0 entstand als Nachfolger und funktioniert ähnlich: Geräte werden entweder vor dem Verkauf mit Backdoors infiziert oder während der Softwareinstallation kompromittiert.
Die jüngsten Entwicklungen basieren auf einem Screenshot des Badbox-2.0-Kontrollpanels, den Kimwolf-Betreiber — bekannt unter den Spitznamen “Dort” und “Snow” — geteilt haben sollen. Auf dem Panel sind sieben autorisierte Benutzer aufgelistet, darunter ein Konto namens “ABCD”, das der Person “Dort” zugeordnet wird. Dies deutet darauf hin, dass Dort sich unbefugten Zugang zum Badbox-System verschafft hat.
Durch umfangreiche Recherchen unter Verwendung von E-Mail-Adressen, Passwörtern aus Datenlecks und Domain-Registrierungsdaten konnte identifiziert werden, dass das Badbox-2.0-Botnetz offenbar von zwei chinesischen Individuen betrieben wird: Chen Daihai und Zhu Zhiyu. Die E-Mail-Adresse 34557257@qq.com, die im Screenshot als Benutzer “Chen” gelistet ist, ist mit mehreren chinesischen Technologieunternehmen verbunden. Registrierungsdaten zeigen eine Verbindung zu Domainnamen wie asmeisvip.net und moyix.com — beide wurden von HUMAN Security im März 2025 als Teil des Badbox-2.0-Verteilungsnetzwerks identifiziert.
Weiterhin konnte die E-Mail-Adresse 189308024@qq.com, die dem Admin-Konto des Badbox-Panels zugeordnet ist, mit Huang Guilin verbunden werden. Diese Person hat Verbindungen zu China-basierten Technologieunternehmen.
Why this matters: Dass Kimwolf-Betreiber direkten Zugriff auf das Badbox-Kontrollzentrum haben, ist erheblich. Normale Proxy-Service-Anbieter haben ihre Systeme inzwischen gegen Missbrauch geschützt, aber Badbox betreibt selbst keinen Proxy-Service. Als lange dieses Sicherheitsloch bestand, könnten Dort und Snow Kimwolf-Malware direkt auf Millionen von Badbox-infizierte TV-Boxen laden.
Es ist unklar, wie Dort ursprünglich Zugang zum Badbox-Panel erhielt. Allerdings dürfte dieser Zugriff nicht lange bestehen bleiben — alle Q-Mail-Adressen in dem Screenshot haben Benachrichtigungen und das kompromittierende Bildmaterial erhalten.
Quelle: Krebs on Security