Laut einer früheren KrebsOnSecurity-Recherche werden die Betreiber von Kimwolf unter den Spitznamen „Dort" und „Snow" geführt. In diesem Monat übergab ein früherer enger Vertrauter der beiden einen Screenshot, der angeblich beim Einloggen in das Kontrollpanel von Badbox 2.0 entstanden ist. Das Bild listet sieben autorisierte Nutzer mit ihren E-Mail-Adressen auf. Der Quelle zufolge gehört das eingeloggte Konto „ABCD" zu Dort, der es offenbar geschafft hat, seine eigene E-Mail-Adresse als gültigen Nutzer von Badbox 2.0 einzutragen.
Badbox hat eine längere Vorgeschichte. Im Juli 2025 reichte Google eine Klage gegen 25 unbekannte Beklagte ein, die das Botnet betrieben haben sollen. Google beschrieb Badbox 2.0 als ein Netz aus über zehn Millionen nicht autorisierten Android-Streaming-Geräten, das für Werbebetrug eingesetzt werde. Die Geräte würden teils schon vor dem Kauf kompromittiert, teils durch den erzwungenen Download schädlicher Apps aus inoffiziellen Marktplätzen infiziert. Zuvor hatte das FBI bereits gewarnt, dass Kriminelle über solche Produkte Zugang zu Heimnetzwerken erlangten. Laut FBI wurde Badbox 2.0 entdeckt, nachdem die ursprüngliche Badbox-Kampagne 2024 zerschlagen worden war; das erste Badbox war 2023 identifiziert worden.
KrebsOnSecurity war zunächst skeptisch gegenüber der Behauptung, die Kimwolf-Betreiber hätten Badbox 2.0 gekapert – bis die Recherche zu den qq.com-Adressen begann. Die Adresse 34557257@qq.com (im Screenshot als Nutzer „Chen") ist als Kontakt mehrerer chinesischer Technologiefirmen gelistet, darunter Beijing Hong Dake Wang Science & Technology und Beijing Hengchuang Vision Mobile Media Technology. Deren Webseiten asmeisvip[.]net und moyix[.]com wurden in einem Bericht von HUMAN Security aus dem März 2025 als Teil der Verbreitungs- und Verwaltungsinfrastruktur von Badbox 2.0 markiert.
Über den beim Dienst Constella Intelligence gefundenen Passwort-Abgleich sowie Daten von DomainTools und osint.industries ließen sich weitere Konten verknüpfen. Die Spuren führen zu den Namen Chen Daihai und Zhu Zhiyu, beide aufgeführt auf einer archivierten Kontaktseite der Firma Beijing Astrolink Wireless Digital Technology. Auch deren Domain astrolink[.]cn sowie vmud[.]net zählen zu den von HUMAN Security genannten Badbox-2.0-Domains. Das älteste Panel-Konto „admin" (registriert im November 2020) führt über die Adresse 189308024@qq.com und die Domain guilincloud[.]cn zum Namen Huang Guilin. Die drei verbleibenden Nutzer waren ebenfalls Personen in China zuzuordnen, standen aber in keiner erkennbaren Verbindung zu den Firmen von Chen Daihai und Zhu Zhiyu. Keiner der Angeschriebenen reagierte auf Anfragen.
Dass die Kimwolf-Betreiber direkten Zugriff auf Badbox 2.0 haben könnten, ist deshalb brisant, weil Kimwolf sich über residentielle Proxy-Dienste verbreitet: Die Betreiber bringen diese Dienste dazu, schädliche Befehle an verwundbare Geräte hinter der Firewall im lokalen Netz weiterzuleiten. Betroffen sind vor allem IoT-Geräte ohne erkennbare Sicherheits- oder Authentifizierungsmechanismen, etwa inoffizielle Android-TV-Boxen und digitale Bilderrahmen.
Nachdem die vom Proxy-Tracking-Unternehmen Synthient gewarnten elf Proxy-Anbieter dieses Vorgehen weitgehend unterbunden hatten, schien Kimwolf gestoppt. Doch laut der Quelle hatten die Betreiber ein Ass im Ärmel: „Dort hat sich unbefugten Zugang verschafft", sagte sie. Normale Proxy-Anbieter hätten die Lücke geschlossen, Badbox verkaufe aber selbst keine Proxys und sei daher nicht gepatcht – solange Dort Zugang habe, könne er die Kimwolf-Schadsoftware direkt auf die zu Badbox 2.0 gehörenden TV-Boxen laden. Wie Dort den Zugang erlangte, ist unklar. Dass sein Konto bestehen bleibt, gilt als unwahrscheinlich: Alle Benachrichtigungen an die im Screenshot gelisteten Adressen enthielten eine Kopie des Bildes samt Fragen zum mutmaßlich unautorisierten ABCD-Konto.
