Sicherheitsexperten von Black Lotus Labs haben ein neu entwickeltes Botnet namens KadNap identifiziert, das es auf ASUS-Router und ähnliche Netzwerkgeräte abgesehen hat. Das Ziel ist klar: Die befallenen Systeme sollen als Proxies für illegale Datenströme missbraucht werden.
Seit August 2025 hat sich das Netzwerk zu einem beeindruckenden Ausmaß ausgewachsen – mittlerweile sind etwa 14.000 Geräte Teil dieses Peer-to-Peer-Systems. Die Kommunikation mit den Kommando- und Kontrollservern erfolgt über eine modifizierte Version des Kademlia Distributed Hash Table (DHT)-Protokolls, was die Bekämpfung erheblich erschwert. Durch die dezentralisierte Architektur werden die Kontrollinformationen auf viele Knoten verteilt, wodurch eine Identifizierung und Abschaltung der Server deutlich komplizierter wird.
Die geografische Verteilung der infizierten Geräte ist bemerkenswert: Fast 60 Prozent befinden sich in den USA, gefolgt von signifikanten Anteilen in Taiwan, Hongkong und Russland. Etwa die Hälfte des KadNap-Netzwerks ist mit ASUS-spezifischer Infrastruktur verbunden, während die restlichen Geräte mit zwei separaten Kontrollservern kommunizieren.
Der Infektionsmechanismus folgt einem bekannten Muster: Ein schädliches Shell-Skript mit dem Namen aic.sh wird von der Adresse 212.104.141[.]140 heruntergeladen. Das Skript richtet Persistenz durch einen Cron-Job ein, der alle 55 Minuten ausgeführt wird. Die eigentliche Malware ist ein ELF-Binary namens “kad”, das den KadNap-Client installiert. Nach der Aktivierung bestimmt die Malware die externe IP-Adresse des Hosts und kontaktiert mehrere NTP-Server, um aktuelle Zeit- und Systemdaten zu ermitteln.
Die Verwendung des modifizierten Kademlia-Protokolls ist ein zentraler Bestandteil der Tarnungsstrategie. Dadurch werden die IP-Adressen der Infrastruktur im Peer-to-Peer-Netzwerk verborgen, was traditionelle Netzwerküberwachung erschwert. “Infizierte Geräte nutzen das DHT-Protokoll, um Kommando- und Kontrollserver zu lokalisieren und sich mit ihnen zu verbinden, während Verteidiger diese Server nicht ohne weiteres identifizieren und auf Blocklisten setzen können”, erklären die Forscher.
Ein entscheidender Schwachpunkt wurde jedoch identifiziert: KadNaps Kademlia-Implementierung zeigt eine konsistente Verbindung zu zwei spezifischen Knoten, bevor die C2-Server erreicht werden. Diese Verbindungsmuster mindern die theoretische Dezentralisierung und ermöglichen es Sicherheitsforschern, die Kontrollinfrastruktur zu identifizieren.
Die Verbindung zu Doppelganger ist besonders besorgniserregend. Dabei handelt es sich um einen Proxy-Service, der vermutlich eine Neuauflage des Faceless-Dienstes ist. Dieser war früher mit dem TheMoon-Botnet verbunden, das ebenfalls ASUS-Router ins Visier nahm. Doppelganger vermietet Zugriff auf infizierte Geräte als sogenannte Residential Proxies – ein Geschäftsmodell, das vor allem für Distributed-Denial-of-Service-Angriffe, Credential-Stuffing und Brute-Force-Attacken genutzt wird.
Lumen Technologies hat bereits Gegenmaßnahmen eingeleitet. Das Unternehmen blockiert sämtlichen Datenverkehr zu und von der Kontrollinfrastruktur innerhalb seines Netzwerks. Allerdings handelt es sich hierbei um eine Schutzmaßnahme, die nur Lumens Infrastruktur betrifft. Die Forscher kündigten an, dass eine Liste mit Indikatoren für Kompromittierungen veröffentlicht wird, um anderen Organisationen zu helfen, das Botnet in ihren eigenen Netzwerken zu unterbrechen.
Diese Entdeckung zeigt erneut, wie kontinuierlich kriminelle Infrastrukturen weiterentwickelt werden und wie wichtig es für Unternehmen ist, ihre Edge-Geräte regelmäßig zu aktualisieren und zu sichern.