Kimwolf wuchs in den letzten Monaten des Jahres 2025 rasant, indem das Botnet verschiedene Residential-Proxy-Dienste austrickste. Solche Dienste werden verkauft, um den eigenen Web-Verkehr zu anonymisieren und einer bestimmten Region zuzuordnen; die größten Anbieter erlauben es Kunden, ihren Datenverkehr durch Geräte in praktisch jedem Land oder jeder Stadt der Welt zu leiten. Die Schadsoftware, die eine Internetverbindung in einen Proxy-Knoten verwandelt, wird häufig unbemerkt mit Apps und Spielen gebündelt und zwingt das infizierte Gerät dazu, missbräuchlichen Verkehr weiterzuleiten — etwa Werbebetrug, Übernahmeversuche von Konten und massenhaftes Auslesen von Inhalten.
Kimwolf zielte vor allem auf Proxys von IPIDEA ab, einem chinesischen Dienst mit Millionen mietbaren Proxy-Endpunkten pro Woche. Die Betreiber entdeckten, dass sie schädliche Befehle in die internen Netzwerke dieser Endpunkte einschleusen und anschließend programmgesteuert nach weiteren verwundbaren Geräten im jeweiligen lokalen Netzwerk suchen und sie infizieren konnten.
Die meisten der so kompromittierten Systeme sind inoffizielle Android-TV-Streaming-Boxen — Geräte auf Basis des Android Open Source Project, nicht zertifizierte Android-TV-OS- oder Play-Protect-Geräte. Sie werden meist als Möglichkeit beworben, gegen eine einmalige Gebühr unbegrenzt (gemeint: raubkopierte) Videoinhalte populärer Streamingdienste zu sehen. Viele dieser Boxen werden mit vorinstallierter Proxy-Software ausgeliefert und besitzen praktisch keine Sicherheits- oder Authentifizierungsfunktionen: Wer direkt mit der Box kommunizieren kann, kann sie auch leicht mit Malware infizieren.
IPIDEA und andere betroffene Anbieter haben nach eigenen Angaben kürzlich Schritte unternommen, um Bedrohungen wie Kimwolf am Eindringen in ihre Endpunkte zu hindern — Berichten zufolge mit unterschiedlichem Erfolg. Auf Millionen infizierter Geräte bleibt die Schadsoftware jedoch bestehen.
Obwohl die enge Verbindung zu Proxy-Netzen und gekaperten TV-Boxen wenige Infektionen in Firmennetzen vermuten ließe, stellte Infoblox bei einer Durchsicht des Kundenverkehrs fest, dass knapp 25 Prozent der Kunden seit dem 1. Oktober 2025 eine Kimwolf-Domain abgefragt hatten. Infoblox betont, dies bedeute, dass nahezu ein Viertel der Kunden mindestens ein Gerät als Endpunkt eines von Kimwolf angegriffenen Proxy-Dienstes hatte — etwa ein Telefon oder einen Laptop, das vom Angreifer zum Absuchen des lokalen Netzwerks vereinnahmt wurde. Eine Anfrage bedeute, dass ein Scan stattfand, nicht dass neue Geräte kompromittiert wurden.
Synthient, ein Start-up zur Beobachtung von Proxy-Diensten und Erstmelder der besonderen Verbreitungsmethoden Kimwolfs am 2. Januar, fand IPIDEA-Endpunkte in alarmierender Zahl bei Behörden und akademischen Einrichtungen weltweit: mindestens 33.000 betroffene Internetadressen an Universitäten und Hochschulen sowie knapp 8.000 IPIDEA-Proxys in verschiedenen US-amerikanischen und ausländischen Regierungsnetzen.
In einem Webinar profilierte der Proxy-Beobachtungsdienst Spur Adressen von IPIDEA und zehn weiteren als angreifbar geltenden Diensten. Spur fand Residential-Proxys in nahezu 300 staatlichen Netzen, 318 Versorgungsunternehmen, 166 Gesundheitseinrichtungen und 141 Banken und Finanzunternehmen. Spur-Mitgründer Riley Kilmer zeigte sich beunruhigt, dass viele der staatlichen Netze zum US-Verteidigungsministerium gehörten. Kimwolf zeige, wie eine einzige Proxy-Infektion rasch zu größeren Problemen führen könne: “Wenn ein Gerät hineingelangt, hat alles, worauf dieses Gerät Zugriff hat, über den Proxy ebenfalls Zugriff.” Proxy-Dienste böten Angreifern einen womöglich einfachen Weg, andere Geräte im lokalen Netz einer angegriffenen Organisation auszukundschaften und sich von einem so gewonnenen Stützpunkt aus weiterzubewegen.
