Реклама. 18+. Рекламодатель ООО "ЮЗЕРГЕЙТ", ИНН 5408308256, erid:2SDnjebHh8M
Image

UserGate Open Conf 2026

Соберём 3000+ экспертов ИБ в одном месте. Роадмапы, лабы, нагрузочные тестирования и анонсы двух новых продуктов. Регистрация открыта!

Ваш роутер ASUS ведёт двойную жизнь. Теперь он помогает хакерам взламывать чужие пароли

leer en español

KadNap Kademlia Faceless TheMoon ASUS Lumen Technologies Black Lotus Labs Doppelganger ботнет прокси-сети
Ваш роутер ASUS ведёт двойную жизнь. Теперь он помогает хакерам взламывать чужие пароли
KadNap Kademlia Faceless TheMoon ASUS Lumen Technologies Black Lotus Labs Doppelganger ботнет прокси-сети

Объясняем, как хитрая программа обманывает ваш Wi-Fi каждые 55 минут.

image

Команда подразделения Black Lotus Labs компании Lumen Technologies обнаружила новый ботнет KadNap, функционирующий с августа 2025 года. KadNap заражает маршрутизаторы ASUS и другое пограничное сетевое оборудование, превращая устройства в прокси для вредоносного трафика. За несколько месяцев сеть разрослась до примерно 14 тысяч узлов и стала частью обширной инфраструктуры, которую киберпреступники используют для сокрытия атак и обхода блокировок.

Узлы объединяются в одноранговую сеть и взаимодействуют с управляющей инфраструктурой через модифицированную версию протокола распределённой хеш-таблицы Kademlia. Такой подход усложняет обнаружение управляющих серверов, поскольку данные распределены между участниками сети, а каждый узел хранит лишь часть информации.

Около половины заражённых устройств связаны с управляющими серверами, обслуживающими ботов на базе маршрутизаторов ASUS. Остальные узлы подключаются к двум другим серверам управления. Наибольшее число заражённых систем находится в США — около 60 процентов всей сети. Заметные доли также приходятся на Тайвань, Гонконг и Россию.

Заражение начинается с загрузки вредоносного сценария aic.sh с удалённого сервера. Сценарий закрепляется в системе через задачу cron, которая запускается каждые 55 минут. Затем устройство получает ELF-файл kad, устанавливающий клиент KadNap. После запуска программа определяет внешний IP-адрес устройства и обращается к нескольким серверам NTP, чтобы получить текущее время и сведения о времени работы системы.

Для скрытности KadNap применяет изменённую реализацию протокола Kademlia. Через распределённую сеть вредоносная программа ищет другие узлы и получает адреса управляющей инфраструктуры, что затрудняет традиционный сетевой мониторинг и блокировку. Однако специалисты заметили особенность реализации: перед обращением к управляющим серверам заражённые устройства регулярно подключаются к двум фиксированным узлам. Такая особенность снижает степень децентрализации и позволяет выявить элементы управляющей инфраструктуры.

Анализ показал связь KadNap с сервисом прокси Doppelganger. По данным команды Lumen Technologies, сервис может быть переименованной версией платформы Faceless, ранее связанной с бот-сетью TheMoon, которая также атаковала маршрутизаторы ASUS. Платформа продаёт доступ к заражённым устройствам в виде «резидентских» прокси. Через подобные узлы злоумышленники перенаправляют вредоносный трафик, маскируют реальное происхождение атак и обходят блокировки.

Подобные прокси нередко применяют при DDoS-атаках, переборе паролей и массовых попытках подбора учётных данных. В таких случаях вредоносная активность исходит от заражённых устройств.

Авторы отчёта также рекомендуют администраторам обращать внимание на необычные задачи cron, регулярные соединения с неизвестными узлами и загрузку подозрительных файлов на сетевых устройствах. Подобные признаки могут указывать на присутствие вредоносного клиента KadNap. Ранняя проверка оборудования и блокировка подозрительных соединений позволяют сократить число заражённых устройств и затруднить работу бот-сети.