文章总结： Kimwolf僵尸网络利用住宅代理漏洞感染全球超200万台安卓电视盒。攻击者通过DNS劫持逆向入侵内网，利用ADB接口控制设备参与DDoS等犯罪。专家建议隔离IoT设备并避免购买劣质电子产品以防御威胁。 综合评分： 83 文章分类： 威胁情报,恶意软件,IoT安全,漏洞分析

Kimwolf僵尸网络利用200万台设备构建全球代理基础设施

原创

网络安全9527

安全圈的那点事儿

2026年1月7日 08:01 北京

一个名为“Kimwolf”的大型新型僵尸网络已感染全球超过200万台设备，将无辜用户的家庭互联网连接变成网络犯罪分子的秘密代理节点。

根据安全公司 Synthient 的一份新报告，该僵尸网络利用不安全的安卓电视盒和主要住宅代理网络中的一个关键漏洞，实现了爆炸式增长。

金沃尔夫病毒感染分布广泛，在越南、巴西、印度、俄罗斯、沙特阿拉伯和美国等地集中爆发。

安全研究人员发现，大约三分之二的受感染设备是杂牌安卓电视盒，这些电视盒通常在亚马逊和沃尔玛等大型电子商务平台上销售，缺乏基本的安全或身份验证措施。

与通过直接下载传播的传统恶意软件不同，Kimwolf 使用了一种复杂的隧道技术。

2025 年 11 月，Quokka 的研究人员发布了一份报告（PDF），详细介绍了运行 Uhale 应用程序的 Android 数码相框（包括截至 2025 年 3 月亚马逊最畅销的数码相框）存在的严重安全问题。

Synthient 的创始人 Benjamin Brundage 发现，僵尸网络运营者利用了住宅代理服务中的一个漏洞，专门针对位于中国的供应商 IPIDEA。

该漏洞允许攻击者通过代理网络“逆向攻击”。攻击者通过篡改域名系统 (DNS) 设置，使其与本地网络地址（例如 192.168.0.1）匹配，从而绕过保护措施，直接与代理用户内部网络上的设备通信。

一旦进入家庭网络，恶意软件就会扫描出厂时带有“Android 调试桥”（ADB）的设备，ADB 是一种诊断工具，在消费类产品中应该将其关闭。

报告警告说：“简而言之，你之前对互联网路由器后面的内部网络安全所了解的一切，现在可能都已经过时，而且存在安全隐患。 ”

这种恶意软件通常与移动应用、游戏捆绑在一起，或者预装在“越狱”的流媒体设备上，这些设备承诺可以免费访问订阅内容。

当用户安装这些应用程序或插入被入侵的电视盒时，他们的设备就变成了“住宅代理”。

犯罪分子租用这些代理服务器来掩盖其位置和活动。然而，Kimwolf 将这种做法更进一步。

受感染的设备被迫参与分布式拒绝服务(DDoS) 攻击，这些攻击能够使网站离线，还能进行广告欺诈、内容抓取和账户接管。

在 Synthient 发出通知后，IPIDEA 和 Oxylabs 等主要代理提供商声称已修复了允许本地网络访问的特定漏洞。

IPIDEA 的安全官表示，该漏洞源于一个遗留的测试模块，该模块现已被移除。

专家建议消费者对廉价的无品牌电子产品保持警惕。“我希望消费者对这些劣质设备保持警惕，”Akamai Technologies首席安全研究员查德·西曼说道。

为保护自身安全，建议用户：

• 避免购买那些承诺提供免费盗版内容的“功能齐全”的安卓电视盒。
• 将物联网设备隔离到“访客” Wi-Fi网络中，以防止它们访问家庭局域网上的其他设备。
• 检查 Synthient 最新发布的受感染设备型号列表，如果在其网络中发现这些设备，请立即将其删除。

尽管有人试图将其摧毁，但 Kimwolf 僵尸网络仍在不断重建自身。这一事件凸显了在廉价互联设备时代，家庭网络安全的脆弱性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《Kimwolf僵尸网络利用200万台设备构建全球代理基础设施》