شبكة روبوتات ضخمة تخترق 1.8 مليون هاتف ذكي وتشن هجمات واسعة النطاق

كشف مختبر QiAnXin XLab الأمني عن شبكة روبوتات جديدة لشن هجمات الحرمان من الخدمة الموزعة (DDoS) تُعرف باسم “Kimwolf”، نجحت في تجنيد جيش ضخم يضم ما لا يقل عن 1.8 مليون جهاز مخترق، تتكون بشكل رئيسي من أجهزة تلفزيون ذكية وقنوات بث (ستب-توب) وأجهزة لوحية تعمل بنظام أندرويد.

قوة نارية هائلة ووظائف خبيثة متعددة

يُقدر أن هذه الشبكة العملاقة أصدرت حوالي 1.7 مليار أمر هجوم DDoS خلال فترة ثلاثة أيام فقط (من 19 إلى 22 نوفمبر 2025). بلغ النشاط ذروته لدرجة أن أحد نطاقات التحكم والسيطرة الخاص بها احتل المركز الأول في قائمة Cloudflare لأعلى 100 نطاق نشاطاً، متجاوزاً مؤقتاً حتى نطاقات مثل جوجل.

إلى جانب قدرات هجمات DDoS التقليدية، يدمج الروبوت وظائف خبيثة أخرى مثل تحويل الوكيل (Proxy)، وفتح قشرة عكسية (Reverse Shell) للوصول عن بُعد، وإدارة الملفات على الجهاز المخترق.

أجهزة التلفزيون الذكية: الهدف الرئيسي للعدوى

تركز العدوى بشكل أساسي على صناديق التلفزيون (TV Boxes) المُنشرة في شبكات المنازل السكنية. تضم قائمة الأجهزة المتأثرة طرازات مثل TV BOX، SuperBOX، X96Q، SmartTV، وMX10. تنتشر الإصابات عالمياً مع تركيزات أعلى في البرازيل، الهند، الولايات المتحدة، الأرجنتين، جنوب إفريقيا، والفلبين.

تطور سريع ومرونة عالية

أظهرت الشبكة قدرة تطورية قوية؛ حيث تم إسقاط نطاقات تحكمها الرئيسية ثلاث مرات على الأقل خلال ديسمبر 2025 من قبل جهات غير معروفة. كرد فعل، انتقلت الشبكة إلى استخدام نظام أسماء Ethereum (ENS) لتأمين بنيتها التحتية وجعلها أكثر مقاومة للإسقاط. تستخدم أحدث إصدارات البرنامج الضار تقنية تسمى EtherHiding لاستخراج عنوان التحكم من عقود Ethereum الذكية.

صلة وثيقة بشبكة AISURU العملاقة

يشتبه الباحثون في أن Kimwolf مرتبطة ارتباطاً وثيقاً بشبكة الروبوتات السيئة السمعة AISURU، التي كانت وراء بعض هجمات DDoS القياسية خلال العام الماضي. ويُعتقد أن المخترقين أعادوا استخدام أجزاء من كود AISURU في المراحل الأولى، ثم طوروا Kimwolf ككيان منفصل للتخفي.

الدليل الحاسم جاء باكتشاف خادم تحميل نشط في 8 ديسمبر 2025 يحتوي على سكريبت يشير إلى حزم APK لكل من Kimwolf و AISURU، مما يؤكد أن الشبكتين تعملان تحت إدارة مجموعة مخترقين واحدة.

استغلال النطاق الترددي لتحقيق أرباح غير مشروعة

كشف التحليل أن أكثر من 96% من الأوامر الصادرة تتعلق باستخدام العُقد المخترقة لتقديم خدمات وكيل (Proxy)، مما يشير إلى محاولة المهاجمين استغلال عرض النطاق الترددي الكبير للأجهزة المخترقة لتحقيق الربح. كما يتم نشر وحدة طرفية مكتوبة بلغة Rust لتشكيل شبكة وكيل، إلى جانب إرسال حزمة برمجية (ByteConnect SDK) تسمح للمهاجمين بتحقيق الدخل من حركة مرور البيانات الخاصة بالأجهزة.

وسوم