Пока вы спали, ваш телевизор пытался взломать банк. Коротко о том, что такое Kimwolf и почему это касается всех

Он тихо пробрался в дома, офисы и даже государственные сети, а теперь управляет миллионами устройств по всему миру. Новый IoT-ботнет под названием Kimwolf уже заразил более 2 миллионов гаджетов, превратив их в армию для DDoS-атак и прокачки вредоносного интернет-трафика. Но куда тревожнее другое: ботнет умеет сканировать локальные сети зараженных устройств и заражать все подряд, что делает его особенно опасным для организаций и корпоративной инфраструктуры.

Kimwolf начал стремительно расти в конце 2025 года, используя нестандартную тактику. Его операторы научились использовать так называемые «резидентские прокси-сервисы», которые обычно продаются как инструмент анонимизации и подмены геолокации интернет-трафика. Эти сервисы позволяют прокладывать соединение через устройства обычных пользователей в любой стране и городе.

Вредоносное ПО, которое превращает смартфон, ТВ-приставку или компьютер в прокси-узел, часто незаметно встраивается в мобильные приложения и игры. В результате зараженное устройство начинает пересылать чужой трафик, участвовать в рекламном мошенничестве, попытках взлома аккаунтов и массовом парсинге сайтов.

Основной целью Kimwolf стал китайский прокси-сервис IPIDEA, у которого еженедельно насчитываются миллионы активных прокси-узлов. Злоумышленники обнаружили, что через такие узлы можно не просто передавать команды, но и проникать во внутренние локальные сети, после чего автоматически искать уязвимые устройства и заражать их.

В большинстве случаев под удар попали неофициальные Android TV-приставки для стриминга, которые часто продаются как «универсальные» устройства для просмотра пиратского контента. Такие приставки обычно работают на Android Open Source Project (AOSP), не имеют нормальной системы защиты и аутентификации, а в ряде случаев уже из коробки содержат установленное прокси-ПО. Если к ним есть прямой сетевой доступ, заразить их вредоносной программой не составляет труда.

Хотя IPIDEA и другие сервисы уже начали блокировать подобные атаки, миллионы устройств по-прежнему остаются зараженными. Изначально казалось, что проблема в основном затрагивает домашних пользователей, но реальность оказалась куда серьезнее. По данным компании Infoblox, почти у 25% ее корпоративных клиентов с октября 2025 года фиксировались обращения к доменам, связанным с Kimwolf. Это означает, что как минимум одно устройство в их сетях использовалось как прокси-узел, через который ботнет пытался сканировать локальную инфраструктуру в поисках новых жертв.

Исследования показывают, что заражения встречаются в самых разных секторах: от образования и медицины до финансовых организаций и государственных структур. Стартап Synthient обнаружил десятки тысяч таких прокси-узлов в университетах и колледжах по всему миру, а также тысячи адресов внутри сетей государственных учреждений разных стран. Аналитики сервиса Spur пошли еще дальше и выявили сотни зараженных сетей, принадлежащих государственным структурам, коммунальным службам, больницам и банкам.

Kimwolf наглядно показывает, как одна зараженная ТВ-приставка, телефон или ноутбук может стать точкой входа для атаки на всю корпоративную сеть. Резидентские прокси превращаются в удобный инструмент разведки, позволяющий злоумышленникам буквально изнутри изучать локальную инфраструктуру организаций и искать уязвимые устройства. В условиях, когда в офисах и учреждениях все чаще используются несертифицированные гаджеты и умные устройства без нормальной защиты, такие ботнеты перестают быть экзотикой и становятся реальной угрозой для безопасности целых отраслей.