Im Zentrum des Angriffs steht laut Lumen ein Shell-Skript namens “aic.sh”, das vom C2-Server unter der Adresse 212.104.141[.]140 heruntergeladen wird und das Opfer in das P2P-Netzwerk eingliedert. Das Skript legt einen Cron-Job an, der die Datei jeweils zur 55. Minute jeder Stunde erneut vom Server abruft, sie in “.asusrouter” umbenennt und ausführt.

Ist diese Persistenz hergestellt, lädt das Skript eine schädliche ELF-Datei nach, benennt sie in “kad” um und führt sie aus — was zur eigentlichen Installation von KadNap führt. Die Malware kann sowohl Geräte mit ARM- als auch mit MIPS-Prozessoren befallen. Trotz des Schwerpunkts auf Asus-Routern setzen die Betreiber sie auch gegen eine Reihe weiterer Netzwerk-Edge-Geräte ein.

Zur Tarnung verbindet sich KadNap mit einem NTP-Server (Network Time Protocol), um die aktuelle Uhrzeit abzurufen und sie zusammen mit der Betriebszeit des Hosts zu speichern. Aus diesen Werten bildet die Malware einen Hash, mit dem sie andere Knoten im dezentralen Netzwerk findet, um Befehle zu empfangen oder weitere Dateien zu laden. Die Dateien fwr.sh und /tmp/.sose enthalten zudem Funktionen, um Port 22 — den Standard-Port für SSH — auf dem infizierten Gerät zu schließen und eine Liste von C2-Adressen samt Ports auszulesen.

“Die innovative Nutzung des DHT-Protokolls erlaubt es der Malware, robuste Kommunikationskanäle aufzubauen, die sich nur schwer stören lassen, indem sie sich im Rauschen legitimen Peer-to-Peer-Verkehrs verbirgt”, erklärte Lumen. Die Analyse ergab außerdem, dass nicht alle kompromittierten Geräte mit jedem C2-Server kommunizieren — ein Hinweis darauf, dass die Infrastruktur nach Gerätetyp und Modell gegliedert ist.

Der Proxy-Dienst Doppelgänger wirbt nach eigenen Angaben mit Residential-Proxys in über 50 Ländern und “100 % Anonymität”; er soll im Mai oder Juni 2025 gestartet sein. Das Team von Black Lotus Labs erklärte gegenüber The Hacker News, dass die Bots von Doppelgänger bereits aktiv missbraucht werden. Da Asus- und andere Geräte mitunter gleichzeitig mit weiterer Malware infiziert seien, lasse sich jedoch nur schwer sagen, wer genau für eine bestimmte schädliche Aktivität verantwortlich ist.

Nutzern von SOHO-Routern rät Lumen, ihre Geräte aktuell zu halten, sie regelmäßig neu zu starten, Standardpasswörter zu ändern, Verwaltungsoberflächen abzusichern und Modelle auszutauschen, die das Ende ihres Lebenszyklus erreicht haben und nicht mehr unterstützt werden.

Parallel dazu beschrieb Cyble eine neue Linux-Bedrohung namens ClipXDaemon, die es auf Kryptowährungsnutzer abgesehen hat, indem sie kopierte Wallet-Adressen abfängt und verändert. Die sogenannte Clipper-Malware wird über das Linux-Framework ShadowHS ausgeliefert und gilt als autonomer Clipboard-Hijacker für Linux-X11-Umgebungen. Vollständig im Arbeitsspeicher ausgeführt, überwacht sie die Zwischenablage alle 200 Millisekunden und ersetzt darin Kryptoadressen durch solche der Angreifer — betroffen sind Wallets für Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple und TON. Wayland-Sitzungen meidet die Malware bewusst, da deren Sicherheitsarchitektur den Zugriff auf die Zwischenablage zusätzlich beschränkt. Laut Cyble besitzt ClipXDaemon keinerlei C2-Logik und kein Beaconing, sondern “monetarisiert die Opfer direkt”, indem sie kopierte Kryptoadressen in X11-Sitzungen in Echtzeit austauscht.