Vor Wochen haben Sicherheitsermittler auf ein neues und aktives Botnet aufmerksam gemacht, das heimische Router und andere Grenzausrüstungen in Proxies zur Verfügung stellt. Laut dem Bedrohungsforschungsteam namens Black Lotus Labs ist diese Malware - getauft als KadNap - seit August 2025 bemerkenswert gewachsen und hat bereits zehntausende von Geräten innerhalb eines Peer- to- Peer-Netzwerks gruppiert, das ihre Verfolgung und Minderung erschwert.
Der technische Schlüssel zum Problem ist, dass KadNap eine Variante des Kademlia-Protokolls - eine verteilte Hash-Tabelle (DHT) - verwendet, um Befehls- und Steuerinformationen (C2) zu verstecken und zu verbreiten. Anstatt sich auf einen einzigen zentralen Server zu verlassen, kommunizieren infizierte Geräte miteinander, um Steuerknoten zu lokalisieren, so dass das Entfernen einer bestimmten IP die Blocktaste nicht deaktiviert. Um die Hintergrundidee zu verstehen, lesen Sie bitte die technische Erklärung von Kademlia in öffentlichen Quellen wie dem Wikipedia-Referenzeintrag: https: / / en.wikipedia.org / wiki / Kademlia.
Der gemeldete technische Modus operandi beginnt mit dem Herunterladen eines schädlichen Skripts (in der Analyse genannt aic.sh) aus einer bestimmten IP-Adresse. Dieses Skript setzt auf dem Team fort, eine geplante Aufgabe zu schaffen, die oft ausgeführt wird, und installiert dann eine ELF binäre - genannt kad in den Ergebnissen -, die als Botnet-Client fungiert. Die binäre konsultiert die externe IP der Maschine und synchronisiert Zeit und startet mit NTP-Diensten, um ihr Verhalten zu kalibrieren, bevor sie in das Peer-Netzwerk integriert werden.
Trotz des dezentralen Erscheinungsbildes entdeckten Forscher ein Muster, das ein Verteidigungsfenster öffnet: KadNaps Implementierung von Kademlia unterhält konstante Verbindungen zu zwei bestimmten Knoten, bevor sie die endgültigen Kontrollserver erreichen. Dieses Verhalten reduziert die wahre Dezentralisierung und erleichtert die Identifizierung der für die Xclusion oder die Blockade relevanten Infrastruktur. Die Entdeckung und Analyse selbst wurde von Black Lotus Labs verbreitet; ihre Arbeit zeigt, wie Angreifer P2P-Techniken mit repetitiven Betriebsgewohnheiten mischen, die sie manchmal weggeben.
Geographisch finden sich die meisten verübten Geräte in den Vereinigten Staaten - etwa 60% nach dem Bericht - mit zusätzlichen Konzentrationen in Taiwan, Hongkong und Russland. Das Botnet hat im analysierten Fenster rund 14.000 Knoten erreicht, und fast die Hälfte dieser Geräte sind mit der Steuerungsinfrastruktur verbunden, die speziell auf ASUS-Router ausgerichtet ist.
Was die Monetarisierung angeht, so beziehen sich die Forscher auf KadNap auf einen Proxy-Service namens Doppelganger, der als Umverpackung früherer Dienste wie Faceless erscheint. Diese Märkte verkaufen den Zugang zu infizierten Maschinen wie "wohnhaften Proxies", nützlich, um schädlichen Verkehr zu vertuschen und Blockaden zu entfernen: von DDoS Angriffe auf Füllung und brutale Kraft Credentonal Kampagnen. Dies macht engagierte Hausausrüstung zu einer kommerziellen Ressource für kriminelle Akteure, die Anonymität und geographische Filterung des Verkehrs suchen.
Die Verteidigungsmaßnahmen wurden nicht erwartet: Lumen erklärte, dass er den mit der identifizierten Kontrollinfrastruktur verbundenen Verkehr in seinem eigenen Netz blockiert habe und kündigte an, dass er Verpflichtungsindikatoren (IOCs) veröffentlichen würde, um anderen Betreibern und Administratoren zu helfen, das Botnet zu erkennen und zu mildern. Diese Maßnahmen machen deutlich, dass die Zusammenarbeit zwischen Forschern, Betreibern und Lieferanten entscheidend ist, wenn eine Bedrohung über das globale Netzwerk verteilt wird.
Was kann ein Heimnutzer oder ein kleiner Netzwerkmanager jetzt tun? Die Aktualisierung der Router-Firmware und die Änderung der Standard-Anmeldeinformationen ist die erste Linie der Verteidigung; viele Infektionen auf Edge-Geräten durch schwache Anmeldeinformationen und unpatched Versionen. Es ist auch angebracht, Remote-Management-Funktionen zu deaktivieren, wenn nicht verwendet, ermöglichen WPA2 / 3 Verschlüsselung in Wi-Fi und segregate IoT-Geräte in ein Netzwerk unabhängig vom Hauptnetzwerk. Wenn eine Infektion vermutet wird, reicht ein Neustart nicht immer aus: Die Wiederherstellung der Fabrikwerte und die Anwendung der neuesten Firmware ist der sicherste Weg, um einen kompromittierten Router zu reinigen. Für gute Praxis- und Minderungsreferenzen sind offizielle Leitfaden für öffentliche Einrichtungen und Sicherheitsrahmen nützlich; z.B. CISA-Empfehlungen zum Schutz inländischer und Telearbeitsnetze bieten konkrete Schritte: https: / / www.cisa.gov / Veröffentlichung / Sicherungs-home-networks-work. Es ist auch relevant, dokumentierte Persistenztechniken in Frames wie MITRE ATT & CK zu überprüfen, die beschreiben, wie Malware programmierte Aufgaben verwendet, um neu starten zu überleben: https: / / attack.mitre.org / Techniken / T1053 /.
Die Geschichte von KadNap zeigt zwei Trends, die berücksichtigt werden sollten: Zum einen erweitern Angreifer ihren Umfang durch die Nutzung von Verbrauchergeräten, die nicht mit robuster Sicherheit entwickelt wurden; zum anderen greifen sie auf P2P-Architekturen und Versteckungstechniken zurück, um es schwierig zu machen, ihre Dienste zu brechen. Die Kombination von ungeschützten Geräten und illegalen Unternehmen, die "Zugang als Service" verkaufen, schafft ein Ökosystem, in dem Schäden schnell skaliert werden und die Reaktion erfordert sowohl individuelle technische Maßnahmen als auch koordinierte Interventionen auf Netzwerk- und Gemeinschaftsebene.
Für diejenigen, die die technische Analyse und die Nachfolge dieses Botnets vertiefen wollen, ist es am schwierigsten, die ursprüngliche Analyse der Forscher zu konsultieren, die es dokumentiert haben, und die von den Sicherheitsreaktionsorganisationen veröffentlichten Updates. Die Arbeit von Black Lotus Labs war die wichtigste öffentliche Quelle dieses Vorfalls; seine Arbeit demonstriert die Nützlichkeit der Bedrohungsforschung, um Taktiken, Techniken und Verfahren zu kartieren und Blocklisten bereitzustellen, die die Verbreitung stoppen.
Kurz gesagt, die Entstehung von KadNap erinnert uns daran, dass die Sicherheit zu Hause beginnt: die Geräte bis zum heutigen Tag zu halten, die Anmeldedaten standardmäßig zu ändern und gute Segmentierungs- und Überwachungspraktiken anzuwenden, reduzieren das Risiko, dass unser Router wird ein Stück mehr als ein Botnet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...