Das IoT-Botnet Kimwolf hat über 2 Millionen Geräte weltweit kompromittiert und ist überraschend häufig in Regierungs- und Unternehmensnetzen verbreitet. Die Malware nutzt Residential-Proxy-Dienste, um sich in lokalen Netzwerken auszubreiten und DDoS-Angriffe durchzuführen.
Das Internet-of-Things-Botnet Kimwolf stellt sich als ernst zu nehmende Bedrohung für Organisationen heraus. Mit über 2 Millionen befallenen Geräten weltweit zwingt die Malware infizierte Systeme dazu, an massiven Distributed-Denial-of-Service-Attacken teilzunehmen und Missbrauchstraffic weiterzuleiten. Besonders besorgniserregend ist Kimwolfs Fähigkeit, lokale Netzwerke nach weiteren anfälligen IoT-Geräten zu scannen.
Die schnelle Verbreitung ab Herbst 2025 basiert auf einer raffinierten Strategie: Die Angreifer missbrauchen Residential-Proxy-Dienste, um Befehle direkt in die lokalen Netzwerke dieser Proxy-Anbieter einzuschleusen. Diese Dienste, hauptsächlich der chinesischen Plattform IPIDEA, werden eigentlich zur Anonymisierung von Webtraffic genutzt. Kimwolf-Operatoren erkannten jedoch, dass sie über diese Schnittstellen systematisch vulnerable Geräte im Netzwerk scannen und infizieren konnten.
Die meisten Opfer sind inoffizielle Android-TV-Streaming-Boxen, die Raubkopien von Inhalten streamen. Diese Geräte werden häufig bereits mit Residential-Proxy-Malware vorinstalliert ausgeliefert und verfügen über minimale Sicherheitsmechanismen – wer Zugriff auf die Box hat, kann sie problemlos kompromittieren.
Eine aktuelle Analyse der Sicherheitsfirma Infoblox offenbarte: Bei etwa 25 Prozent ihrer Kunden weltweit wurde mindestens ein Gerät mit Kimwolf-Domains kontaktiert. Die betroffenen Organisationen verteilen sich über alle Kontinente und Branchen – von Bildung und Gesundheitswesen bis zu Regierung und Finanzsektor.
Das Tracking-Unternehmen Synthient entdeckte besonders alarmierende Zahlen: An weltweit verteilten Universitäten fanden sich etwa 33.000 betroffene IP-Adressen, während knapp 8.000 IPIDEA-Proxys in US- und ausländischen Regierungsnetzen aktiv waren. Der Proxy-Analysedienst Spur identifizierte in einer Analyse vom 16. Januar IPIDEA und zehn weitere vulnerable Proxy-Dienste in etwa 298 Regierungsnetzen, 318 Energieversorgern, 166 Gesundheitseinrichtungen und 141 Finanzunternehmen.
“Besonders beunruhigend ist, dass viele dieser Adressen zum US-Verteidigungsministerium gehören”, erklärte Spur-Gründer Riley Kilmer. Das Szenario zeigt ein fundamentales Risiko: Ein einziger Proxy-Befall kann Angreifern einen Fuß in die Tür verschaffen. Von einem Proxy aus können sie das lokale Netzwerk erkunden und Schritt für Schritt tiefere Systeme infiltrieren.
Obwohl IPIDEA und andere betroffene Anbieter inzwischen Abwehrmaßnahmen gegen Kimwolf ergriffen haben, bleibt die Malware auf Millionen von Geräten aktiv. Die Episode demonstriert ein größeres strukturelles Problem: Unsichere Geräte in Unternehmensnetzen stellen ein exponentielles Risiko dar.
Quelle: Krebs on Security