Die von XLab markierte Internetadresse gehört laut öffentlichen Registereinträgen zur Firma Resi Rack LLC mit Sitz in Lehi, Utah. Auf ihrer Website bezeichnet sich Resi Rack als “Premium-Anbieter von Game-Server-Hosting”, während die Anzeigen des Unternehmens im Forum BlackHatWorld von einem “Premium-Anbieter für Residential-Proxy-Hosting und Proxy-Software-Lösungen” sprechen. Mitgründer Cassidy Hales erklärte gegenüber KrebsOnSecurity, sein Unternehmen habe am 10. Dezember eine Meldung über die Nutzung seines Netzes durch Kimwolf erhalten und das Problem sofort behoben. Man sei sehr enttäuscht, nun mit dem Vorgang in Verbindung gebracht zu werden.
Benjamin Brundage, Gründer des auf Proxy-Dienste spezialisierten Start-ups Synthient, hatte bereits zuvor beobachtet, dass die Verkäufer der von Aisuru und Kimwolf profitierenden Proxy-Dienste auf einem neuen Discord-Server namens resi.to aktiv waren. Als KrebsOnSecurity dem Kanal beitrat, zählte er weniger als 150 Mitglieder, darunter “Shox” — das Pseudonym von Hales — und sein Geschäftspartner “Linus”. Mitglieder veröffentlichten dort regelmäßig IP-Adressen, über die Kimwolf seinen Datenverkehr leitete. Synthient zufolge wurden zwischen Oktober und Dezember 2025 mindestens sieben statische Resi-Rack-Adressen mit der Kimwolf-Infrastruktur in Verbindung gebracht.
Laut Discord-Nachrichten, die von der Sicherheitsfirma Flashpoint erfasst wurden, verkauften Shox und Linus 2024 vor allem statische “ISP-Proxys”. Nachdem AT&T im Februar 2025 angekündigt hatte, ab dem 31. Juli 2025 keine Routen mehr für fremde Netzblöcke bereitzustellen — andere große Provider folgten —, kündigten beide an, dieses Angebot einzustellen.
Als Betreiber des resi.to-Servers trat ein Nutzer mit dem Kürzel “D” auf, das mutmaßlich für den Hacker-Namen “Dort” steht. Dieser Name fiel auch in Gesprächen mit “Forky”, einem Brasilianer, der die Vermarktung von Aisuru zu dessen Anfang Ende 2024 einräumte, eine Beteiligung an den späteren DDoS-Angriffen jedoch bestritt. Forky bezeichnet Dort als in Kanada wohnhaft und als einen von mindestens zwei aktuellen Kontrolleuren des Botnetzes; den zweiten nannte er “Snow”.
Wenige Stunden nach Veröffentlichung der ersten Kimwolf-Geschichte wurden am 2. Januar die Chatverläufe auf resi.to gelöscht und durch eine beleidigende Nachricht an Brundage ersetzt; kurz darauf verschwand der Server. Mitglieder wechselten auf einen Telegram-Kanal, posteten dort persönliche Daten Brundages und beklagten, kein zuverlässiges “kugelsicheres” Hosting zu finden.
Laut Synthient und XLab installierte Kimwolf unter anderem ein Software-Entwicklungskit namens ByteConnect, das vom Anbieter Plainproxies stammt. Synthient beobachtete nach Verbindung mit dem SDK eine Welle von Credential-Stuffing-Angriffen gegen E-Mail-Server und bekannte Websites. Laut LinkedIn ist Friedrich Kraft Geschäftsführer von Plainproxies und Mitgründer von ByteConnect; er betreibt zudem die deutsche Hosting-Firma 3XK Tech GmbH. Cloudflare meldete im Juli 2025, dass 3XK Tech zur größten Quelle von DDoS-Angriffen auf Anwendungsebene geworden sei. GreyNoise Intelligence stellte im November 2025 fest, dass Adressen von 3XK Tech für rund drei Viertel der damaligen Internet-Scans nach einer neu entdeckten kritischen Schwachstelle in Produkten von Palo Alto Networks verantwortlich waren.
Ein weiterer stark beteiligter Anbieter ist laut Synthient Maskify, der auf Cybercrime-Foren mit mehr als sechs Millionen Residential-Adressen wirbt und 30 Cent pro Gigabyte berechnet — laut Synthient ein außergewöhnlich niedriger Preis. Schlüsselakteure von Kimwolf hätten versucht, Proxy-Bandbreite gegen Vorauszahlung abzustoßen. Die Anbieter wüssten genau, was sie verkauften; Proxys zu solchen Preisen seien nicht ethisch beschafft.
Laut XLab rüsteten die Kimwolf-Betreiber Mitte Dezember ihre Infrastruktur auf und nutzen seither den Ethereum Name Service (ENS), um Abschaltversuchen ihrer Steuerungsserver zu widerstehen. Über ENS-Einträge finden infizierte Geräte stets die aktuelle Adresse des Steuerungsservers; dieser Kanal lasse sich laut XLab nicht blockieren. In den Texteinträgen verbreiteten die Betreiber auch Drohungen sowie Brundages persönliche Daten. Ein weiterer Eintrag riet dazu, eine als kompromittiert markierte TV-Box zu zerstören.
Synthient und XLab betonen, dass die betroffenen Android-TV-Boxen über keinerlei Sicherheitsschutz verfügen und viele die Proxy-Schadsoftware bereits ab Werk enthalten. Wer ein solches Gerät besitzt, solle es aus dem Netzwerk entfernen.
