Eine Infektion mit KadNap beginnt mit dem Herunterladen eines bösartigen Skripts namens aic.sh von der Adresse 212.104.141[.]140. Das Skript richtet über einen Cron-Job, der alle 55 Minuten läuft, dauerhafte Persistenz ein. Die eigentliche Nutzlast ist eine ELF-Binärdatei mit dem Namen kad, die den KadNap-Client installiert.

Ist die Schadsoftware aktiv, ermittelt sie zunächst die externe IP-Adresse des Hosts und kontaktiert mehrere NTP-Server (Network Time Protocol), um die aktuelle Uhrzeit und die Systemlaufzeit abzufragen. Zur Tarnung und zum Schutz vor Abschaltungen nutzt KadNap die modifizierte Kademlia-DHT-Variante, um Botnet-Knoten und die C2-Infrastruktur zu lokalisieren.

“KadNap setzt eine angepasste Version des Kademlia-Protokolls (Distributed Hash Table) ein, um die IP-Adresse der Infrastruktur innerhalb eines Peer-to-Peer-Systems zu verbergen und so der herkömmlichen Netzwerküberwachung zu entgehen”, erklären die Forscher. Infizierte Geräte nutzten das DHT-Protokoll, um einen Steuerungsserver zu finden und sich mit ihm zu verbinden, während Verteidiger diese Server nur schwer aufspüren und auf Sperrlisten setzen könnten.

Allerdings stießen die Forscher auf eine Schwachstelle in dieser Umsetzung: Bevor die Geräte die C2-Server erreichen, stellen sie stets eine Verbindung zu zwei bestimmten Knoten her. Das verringert die eigentlich angestrebte Dezentralisierung des Protokolls und ermöglicht es, die Steuerungsinfrastruktur zu identifizieren.

Nach Einschätzung von Black Lotus Labs steht das KadNap-Botnet in Verbindung mit dem Proxy-Dienst Doppelganger. Dabei soll es sich um eine Umbenennung des Dienstes Faceless handeln, der zuvor mit dem Botnet TheMoon in Verbindung gebracht wurde, das ebenfalls ASUS-Router angriff. Doppelganger verkauft den Zugang zu infizierten Geräten als sogenannte Residential Proxies, über die sich bösartiger Datenverkehr leiten, Anonymisierungsschichten aufbauen und Sperrlisten umgehen lassen.

Solche Dienste werden den Forschern zufolge typischerweise für DDoS-Angriffe (Distributed Denial of Service), Credential Stuffing und Brute-Force-Attacken genutzt, die zunächst alle bei den KadNap-Opfern ansetzen.

Lumen hat nach eigenen Angaben proaktive Maßnahmen ergriffen und zum Zeitpunkt der Veröffentlichung “den gesamten Netzwerkverkehr zur und von der Steuerungsinfrastruktur blockiert”. Diese Unterbrechung gilt jedoch nur für das eigene Netz von Lumen. Eine Liste von Kompromittierungsindikatoren soll veröffentlicht werden, damit auch andere das Botnet auf ihrer Seite stören können.