KadNap恶意软件感染超1.4万台边缘设备构建隐秘代理僵尸网络

网络安全研究人员发现了一种名为KadNap的新型恶意软件，主要针对华硕路由器发起攻击，将其纳入僵尸网络用于代理恶意流量。

根据Lumen公司Black Lotus Labs团队的报告，该恶意软件于2025年8月首次在野外被检测到，目前已感染超过14,000台设备，其中60%以上的受害者位于美国。其他感染较少的地区包括台湾、香港、俄罗斯、英国、澳大利亚、巴西、法国、意大利和西班牙。

网络安全公司在与The Hacker News分享的报告中表示：”KadNap采用了Kademlia分布式哈希表(DHT)协议的定制版本，用于在点对点系统中隐藏其基础设施的IP地址，以逃避传统网络监控。”

网络中被感染的节点利用DHT协议定位并连接命令控制(C2)服务器，这使得它能够抵御检测和破坏行为。

设备被成功感染后，会被名为Doppelganger的代理服务(“doppelganger[.]shop”)进行营销推广，该服务被评估为另一个与TheMoon恶意软件相关的代理服务Faceless的重新品牌。根据其网站介绍，Doppelganger声称在50多个国家提供”100%匿名”的住宅代理服务。该服务据称于2025年5-6月推出。

尽管主要针对华硕路由器，但KadNap的操作者已被发现针对各种边缘网络设备部署恶意软件。

攻击的核心是从C2服务器(“212.104.141[.]140”)下载的shell脚本(“aic.sh”)，负责启动将受害者征召到P2P网络的过程。该文件创建一个定时任务，在每小时的55分钟时从服务器获取shell脚本，将其重命名为”.asusrouter”并运行。

建立持久性后，脚本会拉取恶意ELF文件，将其重命名为”kad”并执行。这进而导致KadNap的部署。该恶意软件能够针对运行ARM和MIPS处理器的设备。

KadNap还被设计为连接到网络时间协议(NTP)服务器以获取当前时间，并将其与主机运行时间一起存储。这些信息用作创建哈希的基础，该哈希用于在分散网络中定位其他对等节点以接收命令或下载其他文件。

fwr.sh和/tmp/.sose文件包含关闭受感染设备上22端口(SSH标准TCP端口)的功能，并提取C2 IP地址:端口组合列表进行连接。

Lumen表示：”简而言之，DHT协议的创新使用使恶意软件能够建立难以破坏的强大通信通道，通过隐藏在合法点对点流量的噪音中实现。”

进一步分析确定，并非所有被感染的设备都与每个C2服务器通信，表明基础设施正在根据设备类型和型号进行分类。

Black Lotus Labs团队告诉The Hacker News，Doppelganger的僵尸网络正被野外的威胁行为者滥用。该公司表示：”一个问题是，这些华硕设备(和其他设备)有时也会被其他恶意软件共同感染，很难确定到底谁对特定的恶意活动负责。”

建议使用小型办公室/家庭办公室路由器的用户保持设备更新，定期重启，更改默认密码，保护管理界面，并更换已终止生命周期且不再受支持的型号。

Lumen总结道：”KadNap僵尸网络在支持匿名代理的其他僵尸网络中脱颖而出，因为它使用点对点网络进行分散控制。他们的意图很明确，避免检测并使防御者难以抵御。”

此次披露之际，Cyble详细介绍了一种名为ClipXDaemon的新Linux威胁，旨在通过拦截和修改复制的钱包地址来针对加密货币用户。这种剪贴板劫持恶意软件通过名为ShadowHS的Linux后渗透框架传播，被描述为针对Linux X11环境的自主加密货币剪贴板劫持程序。

该恶意软件完全在内存中运行，采用隐蔽技术，如进程伪装和避免Wayland会话，同时每200毫秒监控剪贴板并用攻击者控制的钱包替换加密货币地址。它能够针对比特币、以太坊、莱特币、门罗币、波场币、狗狗币、瑞波币和TON钱包。

避免在Wayland会话中执行的决定是有意为之，因为该显示服务器协议的安全架构在应用程序访问剪贴板内容之前会增加额外控制，如要求明确的用户交互。通过在此类场景下禁用自身，恶意软件旨在消除噪音并避免运行时失败。

该公司表示：”ClipXDaemon与传统Linux恶意软件根本不同。它不包含命令控制(C2)逻辑，不执行信标传输，也不需要远程任务处理。相反，它通过劫持X11会话中复制的加密货币钱包地址并实时替换为攻击者控制的地址来直接从受害者那里获利。”

Q&A

Q1：KadNap恶意软件是什么？它的主要攻击目标是什么？

A：KadNap是一种新型恶意软件，主要针对华硕路由器发起攻击，将其纳入僵尸网络用于代理恶意流量。它采用定制版本的Kademlia分布式哈希表协议来隐藏基础设施IP地址，目前已感染超过14,000台设备。

Q2：Doppelganger代理服务与KadNap有什么关系？

A：被KadNap感染的设备会被名为Doppelganger的代理服务进行营销推广，该服务声称在50多个国家提供”100%匿名”的住宅代理服务。Doppelganger被评估为另一个代理服务Faceless的重新品牌。

Q3：如何防护路由器免受KadNap恶意软件攻击？

A：建议用户保持设备更新，定期重启路由器，更改默认密码，保护管理界面，并更换已终止生命周期且不再受支持的型号。这些措施有助于降低感染风险。