Cybersicherheitsforscher des Black Lotus Labs-Teams bei Lumen haben eine neue Malware namens KadNap aufgedeckt, die primär ASUS-Router ins Visier nimmt, um diese in ein Proxy-Botnetz einzubinden. Seit ihrer erstmaligen Entdeckung im August 2025 hat sich die Schadsoftware auf mehr als 14.000 infizierte Geräte ausgebreitet. Mit über 60% der Opfer liegt der geografische Schwerpunkt in den USA, wobei auch Infektionen in Taiwan, Hongkong, Russland, Großbritannien, Australien, Brasilien, Frankreich, Italien und Spanien dokumentiert wurden.
Das Besondere an KadNap ist der Einsatz eines angepassten Kademlia-Distributed-Hash-Table-Protokolls (DHT). Dieses ermöglicht es den Angreifern, die IP-Adressen ihrer Infrastruktur innerhalb eines Peer-to-Peer-Systems zu verbergen und damit klassische Netzwerküberwachung zu umgehen. Die kompromittierten Geräte nutzen das DHT-Protokoll, um Command-and-Control-Server zu lokalisieren und sich mit ihnen zu verbinden – ein Ansatz, der die Infrastruktur extrem widerstandsfähig gegen Erkennungs- und Störungsversuche macht.
Nach erfolgreicher Kompromittierung werden die Geräte durch einen Proxy-Service namens Doppelgänger (“doppelganger[.]shop”) vermarktet. Bei diesem Service handelt es sich offenbar um ein Rebranding des früheren Proxy-Dienstes Faceless, der mit der TheMoon-Malware verbunden war. Doppelgänger startete dem Anschein nach im Mai oder Juni 2025 und bewirbt seine Dienste mit angeblich “100%iger Anonymität” durch Resident Proxies in über 50 Ländern.
Obwohl ASUS-Router im Fokus stehen, haben die KadNap-Operatoren auch ein breites Spektrum anderer Edge-Netzwerkgeräte ins Visier genommen. Der Angriffsvektor funktioniert über ein Shell-Skript (“aic.sh”), das vom C2-Server (“212.104.141[.]140”) heruntergeladen wird. Dieses Skript erstellt einen Cron-Job, der stündlich in der 55. Minute das Skript abruft, es in “.asusrouter” umbenennt und ausführt.
Sobald Persistenz etabliert ist, wird eine bösartige ELF-Datei heruntergeladen, in “kad” umbenannt und ausgeführt – damit beginnt die Infektion mit KadNap. Die Malware funktioniert auf Geräten mit ARM- und MIPS-Prozessoren. Bemerkenswert ist auch, dass KadNap sich mit einem Network-Time-Protocol-Server verbindet, um die aktuelle Zeit abzurufen und diese zusammen mit der Gerätebetriebszeit zu speichern. Daraus wird ein Hash erstellt, der der Malware hilft, andere Peers im dezentralen Netzwerk zu finden und Befehle zu empfangen oder zusätzliche Dateien herunterzuladen.
Die Dateien “fwr.sh” und “/tmp/.sose” enthalten Funktionalität zum Schließen von Port 22 (SSH-Standardport) auf dem infizierten Gerät und zum Extrahieren von C2-IP:Port-Kombinationen. “Die innovative Nutzung des DHT-Protokolls ermöglicht es der Malware, robuste Kommunikationskanäle zu etablieren, die schwer zu unterbrechen sind, weil sie sich im Rauschen von legitimen Peer-to-Peer-Verkehren verstecken,” erklärt Lumen.
Weitere Analysen zeigen, dass nicht alle kompromittierten Geräte mit jedem C2-Server kommunizieren – die Infrastruktur ist also nach Gerätetyp und Modellen kategorisiert. Das Black Lotus Labs-Team berichtet zudem, dass die Doppelgänger-Bots von Bedrohungsakteuren aktiv missbraucht werden. Ein zusätzliches Problem: Da viele der befallenen ASUS- und anderen Geräte oft gleichzeitig mit anderer Malware koinfiziert sind, ist es schwierig zu bestimmen, wer genau für spezifische Angriffe verantwortlich ist.
Nutzer von SOHO-Routern sollten ihre Geräte aktuell halten, sie regelmäßig neustarten, Standard-Passwörter ändern, Management-Interfaces sichern und veraltete, nicht mehr unterstützte Modelle ersetzen. “Das KadNap-Botnetz hebt sich von anderen anonymen Proxy-Botnetzen durch seinen dezentralisierten Kontrollmechanismus ab. Die Absicht ist klar: Erkennung vermeiden und es Verteidigern schwer machen,” fasst Lumen zusammen.
Parallel wurde auch eine neue Linux-Malware namens ClipXDaemon entdeckt, die auf Kryptowährungsnutzer abzielt. Diese Clipboard-Hijacking-Malware wird über das Linux-Post-Exploitation-Framework ShadowHS verbreitet und läuft vollständig im Speicher. Sie überwacht die Zwischenablage alle 200 Millisekunden und ersetzt Kryptowallet-Adressen durch Attacker-kontrollierte Adressen. Das Ziel ist es, Bitcoin-, Ethereum-, Litecoin-, Monero-, Tron-, Dogecoin-, Ripple- und TON-Wallets zu kompromittieren. Ein interessantes Design-Detail: Die Malware deaktiviert sich absichtlich in Wayland-Sessions, da das Display-Server-Protokoll durch zusätzliche Sicherheitskontrollen und erforderliche Benutzerinteraktion den Zugriff auf Clipboard-Inhalte erschwert. “ClipXDaemon unterscheidet sich fundamental von traditioneller Linux-Malware. Es hat keine C2-Logik, sendet keine Beacon und benötigt keine Remote-Tasking,” erklärt Cyble. “Stattdessen monetarisiert es Opfer direkt, indem es kopierte Kryptowallet-Adressen in X11-Sessions kappt und in Echtzeit durch attacker-kontrollierte Adressen ersetzt.”