Das Kimwolf-Botnet hat über zwei Millionen Android-TV-Geräte infiziert und wird von Cyberkriminellen für DDoS-Angriffe und illegale Proxy-Dienste missbraucht. Eine Recherche deckt auf, welche Hosting-Provider und Proxy-Dienste von der Ausbreitung profitierten.
Unsere erste Recherche 2026 enthüllte, wie das zerstörerische Kimwolf-Botnet mehr als zwei Millionen Geräte durch die Kompromittierung von inoffiziellen Android-TV-Streaming-Boxen infiziert hat. Jetzt folgen wir den digitalen Spuren, die Hacker, Netzwerk-Betreiber und Dienste hinterlassen haben, welche von Kimwolfs Ausbreitung profitiert haben.
Am 17. Dezember 2025 veröffentlichte das chinesische Sicherheitsunternehmen XLab eine detaillierte Analyse von Kimwolf. Das Botnet zwingt infizierte Geräte, an verteilten Denial-of-Service-Attacken (DDoS) teilzunehmen und missbraucht sie als sogenannte “Residential Proxies” für illegalen Datenverkehr.
Die Software, die Geräte in Residential Proxies umwandelt, wird oft versteckt in mobilen Apps gebündelt. Kimwolf zielte speziell auf Proxy-Software ab, die auf mehr als tausend verschiedenen Modellen inoffizieller Android-TV-Boxen vorinstalliert war. Schnell begannen die Internet-Adressen dieser Geräte, Traffic zu leiten, der mit Betrugsfällen, Account-Übernahmen und Massenwebscraping verbunden ist.
XLab fand “definitive Beweise”, dass dieselben Cyberkriminellen und dieselbe Infrastruktur für die Verbreitung von Kimwolf und des älteren Aisuru-Botnets verwendet wurden — beide zwangen Geräte zur Teilnahme an DDoS-Attacken und Proxy-Services.
Die Verbindung beider Botnets wurde am 8. Dezember bestätigt, als XLab beobachtete, dass beide von der IP-Adresse 93.95.112[.]59 aus verbreitet wurden. Diese Adresse ist laut öffentlicher Registrierungen dem Unternehmen Resi Rack LLC aus Lehi, Utah, zugewiesen. Auf ihrer Website präsentiert sich Resi Rack als “Premium Game Server Hosting Provider”, während Anzeigen auf dem Hacker-Forum BlackHatWorld das Unternehmen als “Premium Residential Proxy Hosting und Proxy Software Solutions Company” beschreiben.
Resi Racks Co-Gründer Cassidy Hales teilte mit, sein Unternehmen habe am 10. Dezember eine Benachrichtigung über Kimwolf erhalten, “die detaillierte, was einer unserer Kunden mit unseren gemieteten Servern tat.” Er beteuerte, das Problem sofort behoben zu haben und sich davon zu distanzieren.
Die Resi-Rack-Adresse war bereits mehr als zwei Wochen vor der XLab-Mitteilung bekannt. Benjamin Brundage, Gründer des Tracking-Unternehmens Synthient, teilte im späten Oktober 2025 mit, dass Verkäufer von Proxy-Diensten, die vom Aisuru- und Kimwolf-Botnet profitierten, sich auf einem neuen Discord-Server namens resi[.]to organisierten.
Als KrebsOnSecurity den resi[.]to-Channel im späten Oktober beitrat, hatte der Server weniger als 150 Mitglieder, darunter “Shox” — der Nickname von Resi Racks Co-Gründer Hales — und sein Partner “Linus”.
Mitglieder des Channels posteten regelmäßig neue IP-Adressen, die für das Weiterleiten von Kimwolf-Traffic zuständig waren. Allein Synthient identifizierte mindestens sieben statische Resi-Rack-IP-Adressen, die zwischen Oktober und Dezember 2025 mit Kimwolf verbunden waren. Beide Co-Gründer waren seit fast zwei Jahren aktiv im Proxy-Verkauf über Discord. Nach AT&Ts Ankündigung im Februar 2025, ISP-Proxies nicht mehr zu unterstützen, kündigten Shox und Linus an, diese Dienste einzustellen.
Der Besitzer des resi[.]to-Servers verwendete den Usernamen “D” — vermutlich kurz für den Hacker-Handle “Dort”. Ein brasilianischer Mann namens “Forky”, der in Marketingmaßnahmen des Aisuru-Botnets involviert war, identifizierte Dort als kanadischen Resident und als einen von mindestens zwei Botmasters des Aisuru/Kimwolf-Netzes. Der andere geht unter dem Nickname “Snow”.
Am 2. Januar — kurz nach unserer Kimwolf-Story — wurden die Chat-Protokolle auf resi[.]to gelöscht und der Server verschwand vollständig. Die Betreiber zogen auf einen Telegram-Kanal um, wo sie Brundages persönliche Daten verbreiteten und über fehlende “bulletproof” Hosting-Optionen klagten.
Unter den beteiligten Proxy-Providern war Plainproxies, das ein SDK namens ByteConnect vertreibt. Der CEO ist Friedrich Kraft, der auch die deutsche Hosting-Firma 3XK Tech GmbH betreibt. Im Juli 2025 meldete Cloudflare, dass 3XK Tech zur größten Quelle von DDoS-Attacken im Internet geworden war. Im November fand GreyNoise Intelligence heraus, dass 3XK-Tech-Adressen für etwa drei Viertel des Internet-Scannings einer kritischen Palo-Alto-Schwachstelle verantwortlich waren.
Ein weiterer Provider, Maskify, warb mit über sechs Millionen verfügbaren Wohnungs-IP-Adressen und bot diese zu nur 30 Cent pro Gigabyte an — deutlich günstiger als jede andere Proxy-Dienst. Synthient dokumentierte, dass andere Proxy-Provider Kimwolf-Akteure beim Versuch sahen, Bandbreite gegen Barvorkasse zu “offloaden”.
Nach unserer ersten Kimwolf-Story wurden Synthients Website von DDoS-Angriffen getroffen und die Botmasters doxxten Brundage über ihr Botnet. Die belästigenden Nachrichten erschienen als Text-Einträge im Ethereum Name Service (ENS), einem dezentralisierten System für Smart Contracts. Dadurch, dass Kimwolf-Systeme ihre Kontrollserver über ENS suchen, können die Botmasters einfach den ENS-Eintrag aktualisieren, wenn ihre Server offline gehen.
XLab bemerkte: “Dieser Kanal nutzt die dezentralisierte Natur der Blockchain, die von Ethereum und anderen Operatoren nicht reguliert wird, und kann nicht blockiert werden.”
Beiden Sicherheitsunternehmen zufolge zielt Kimwolf auf eine große Anzahl von Android-TV-Box-Modellen ab, die keine Sicherheitsschutzmaßnahmen haben und viele mit Proxy-Malware vorinstalliert sind. Wenn Sie eine TV-Box mit einem dieser Model-Namen besitzen, sollten Sie sie sofort aus dem Netz nehmen. Helfen Sie Familie und Freunden, ihre Geräte zu sichern.
Quelle: Krebs on Security