Kimwolf Botnet Nedir?
Yeni bir DDoS (Distributed Denial of Service) botnet olan Kimwolf, 1.8 milyondan fazla Android tabanlı TV, set-top box ve tablet gibi cihazları ele geçirmiştir. QiAnXin XLab’ın bulgularına y göre, Kimwolf botneti, başka bir botnet olan AISURU ile bağlantılı olabilir.
Kimwolf’un Özellikleri
Kimwolf, Native Development Kit (NDK) kullanılarak derlenmiş bir botnet’tir. Tipik DDoS saldırı yeteneklerinin yanı sıra proxy yönlendirme, ters shell ve dosya yönetimi işlevlerini bir arada sunmaktadır. Bu hiper ölçekli botnet, yalnızca üç gün içinde 1.7 milyardan fazla DDoS saldırı komutu göndermiştir. Özellikle, 19-22 Kasım 2025 tarihleri arasında etkinlik göstermiştir.
Hedef Cihazlar ve Dağılım
Kimwolf’un ana hedefleri, konut ağlarında konuşlanmış TV kutularıdır. En çok etkilenen cihaz modelleri arasında TV BOX, SuperBOX, HiDPTAndroid ve MX10 gibi ürünler yer almaktadır. Küresel olarak, bu enfeksiyonlar Brezilya, Hindistan, ABD, Arjantin, Güney Afrika ve Filipinler gibi ülkelerde yoğunlaşmıştır. Ancak, malware’in bu cihazlara nasıl yayıldığına dair kesin bir bilgi mevcut değildir.
Botnet’in Yayılma Stratejisi
XLab, Kimwolf hakkında bir araştırmaya başladığında, 24 Ekim 2025 tarihinde güvenilir bir topluluk partnerinden “versiyon 4” örneği almıştı. Elde edilen verilere göre, Kimwolf’un C2 (Command and Control) alan adları, bilinmeyen taraflar tarafından Aralık ayında en az üç kez devre dışı bırakılmıştır. Bu durum, kimliği belirsiz saldırganların daha gelişmiş taktikler kullanmasına neden olmuştur.
AISURU ile Bağlantıları
Kimwolf, AISURU botneti ile bağlantılıdır ve bu botnet, son yıl içinde bazı rekor DDoS saldırılarına imza atmıştır. Araştırmalar, Kimwolf’un, AISURU’dan kod yeniden kullanımına giderek daha tespit edilemez hale geldiğini göstermektedir. İki botnet, Eylül ve Kasım arasındaki süreçte aynı enfeksiyon senaryolarını kullanarak, aynı cihaz grubunda varlık göstermiştir.
Teknoloji ve Yöntemler
Kimwolf’un malware’i, cihazda yalnızca bir işlem çalıştığından emin olduktan sonra, deşifre edilen C2 alan adını kullanarak DNS-over-TLS ile C2 IP adresini almakta ve bağlantı kurarak komutları icra etmektedir. Son güncellemelerle birlikte, EtherHiding tekniği kullanarak ENS alan adları üzerinden veri iletişimini güçlendirmiştir.
Başlıca DDoS Saldırı Yöntemleri
Düzenlenen DDoS saldırıları, UDP, TCP ve ICMP gibi protokoller üzerinden gerçekleştirilmektedir. Kimwolf, toplamda 13 farklı DDoS saldırı yöntemini desteklemektedir. XLab’ın değerlendirmelerine göre, saldırı hedefleri genellikle ABD, Çin, Fransa, Almanya ve Kanada’da yoğunlaşmaktadır.
Sonuç
Günümüzde DDoS saldırıları giderek karmaşık hale gelmekte ve büyük ölçekte botnetler ortaya çıkmaktadır. Kimwolf, Mirai’den bu yana gelişen en büyük botnetlerden biridir. Saldırganların, çeşitli akıllı TV ve TV kutularını hedef alarak, geniş bir cihaz yelpazesini etkisi altına almaları, bu tür siber tehditlerin ciddiyetini gözler önüne sermektedir.
