Residential-Proxy-Netze werden Kunden als Möglichkeit verkauft, ihren Web-Verkehr zu anonymisieren und einer bestimmten Region zuzuordnen; die größten Anbieter leiten den Verkehr durch Geräte in nahezu jedem Land der Welt. Die Schadsoftware, die eine Internetverbindung in einen solchen Proxy-Knoten verwandelt, steckt häufig in zweifelhaften Apps und Spielen oder in inoffiziellen Android-TV-Boxen, die Drittanbieter auf Plattformen wie Amazon, BestBuy, Newegg und Walmart verkaufen.

Diese Boxen kosten zwischen 40 und 400 US-Dollar, treten unter zahllosen No-Name-Marken auf und werben oft damit, kostenpflichtige Streaming-Inhalte gratis verfügbar zu machen. Laut Synthient machen sie einen erheblichen Teil der rund zwei Millionen infizierten Systeme aus. Betroffen sind zudem internetfähige digitale Bilderrahmen: Forscher von Quokka beschrieben im November 2025 schwere Sicherheitsprobleme in Android-basierten Rahmen mit der Uhale-App, darunter Amazons meistverkaufter Bilderrahmen.

Benjamin Brundage, Informatikstudent am Rochester Institute of Technology und Gründer von Synthient, begann im Oktober 2025 mit der Beobachtung. Er vermutet, dass Kimwolf eine neue Android-Variante des Botnetzes Aisuru ist. Der Kern der von ihm entdeckten Schwachstelle: Proxy-Dienste verhinderten nicht ausreichend, dass Kunden Anfragen an interne Server der Proxy-Endpunkte weiterleiten. Zwar sperren die meisten Dienste die in RFC-1918 definierten lokalen Adressbereiche (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12), doch die Kimwolf-Betreiber umgingen dies, indem sie DNS-Einträge auf Adressen wie 192.168.0.1 oder 0.0.0.0 verweisen ließen.

In einer Mitte Dezember 2025 an knapp ein Dutzend Proxy-Anbieter verschickten Sicherheitswarnung schrieb Brundage, dies werde “aktiv ausgenutzt, wobei Angreifer diese Funktion nutzen, um Schadsoftware abzulegen”. Ein zweites Problem: Brundage stellte fest, dass praktisch alle getesteten TV-Boxen ab Werk mit aktiviertem Android Debug Bridge (ADB) ausgeliefert wurden. ADB ist ein Diagnosewerkzeug für Fertigung und Tests; aktiviert nehmen die Geräte jedoch unauthentifizierte Verbindungen an. Der Befehl “adb connect” mit der lokalen IP-Adresse und dem Port 5555 verschafft administrativen Vollzugriff.

Anfang Dezember stellte Brundage eine Eins-zu-eins-Überschneidung zwischen neuen Kimwolf-Infektionen und Proxy-Adressen des chinesischen Anbieters IPIDEA fest, nach allgemeiner Einschätzung das weltweit größte Residential-Proxy-Netz. Am 1. Dezember 2025 bestätigte Synthient, dass die Betreiber durch IPIDEAs Netz in lokale Netzwerke tunnelten; das Schadprogramm wurde über die Passphrase “krebsfiveheadindustries” freigeschaltet. Bis Ende Dezember verfolgte Synthient rund zwei Millionen von Kimwolf ausgenutzte IPIDEA-Adressen.

IPIDEAs Sicherheitsbeauftragter, der sich nur als Byron vorstellte, teilte mit, das Problem sei auf ein veraltetes Test- und Debugging-Modul zurückzuführen, das die internen Zugriffsbeschränkungen nicht vollständig übernommen habe; die betroffenen Pfade seien nun gesperrt und das Modul offline genommen. Brundage zufolge hat IPIDEA die Schwachstellen erfolgreich behoben. Riley Kilmer von Spur.us bestätigte Brundages Erkenntnisse und verwies auf die besonders verbreitete Superbox, die den Debug-Modus auf localhost:5555 offenlässt.

Der Proxy-Anbieter Oxylabs bestätigte ebenfalls Änderungen, erklärte aber, es gebe keine Hinweise, dass Kimwolf sein Netz ausgenutzt habe. Brundage und Kilmer halten IPIDEA für eine spätere Wiederauflage des 2014 bis 2022 betriebenen Dienstes 911S5 Proxy, dessen mutmaßliche Betreiber das US-Finanzministerium im Juli 2024 sanktionierte.

Einen großen Teil der bisherigen Veröffentlichungen zu Kimwolf lieferte die chinesische Firma XLab, die das Botnetz seit dem 24. Oktober verfolgt und zwischen 1,8 und 2 Millionen versklavte Geräte zählt, mit Schwerpunkten in Brasilien, Indien, den USA und Argentinien. XLab betont, dass die kumulierte Beobachtung von 2,7 Millionen IP-Adressen wegen dynamischer IP-Vergabe nicht 2,7 Millionen infizierten Geräten entspricht.