奇安信发现名为Kimwolf的僵尸网络感染180万台安卓机顶盒 发起超过17亿条DDoS攻击命令

网络安全公司奇安信日前发布报告披露名为 Kimwolf 的新型分布式拒绝服务僵尸网络，这个僵尸网络目前至少已经感染 180 万台设备，主要涉及基于安卓系统的智能电视、机顶盒和平板电脑。

Kimwolf 使用原生开发工具包 (NDK) 编译的僵尸网络，除了典型的 DDoS 攻击能力外，还集成包括代理转发、反向 Shell 和文件管理等功能，因此黑客不仅将设备当成肉鸡，同时还具备其他攻击能力。

奇安信估计这个超大规模的僵尸网络在 2025 年 11 月 19 日～22 日发出高达 17 亿条 DDoS 指令，这也导致该僵尸网络的命令与控制域名 14emeliaterracewestroxburyma02132 [.] su 在 Cloudflare 域名解析排行榜中超过谷歌搜索成为榜首。

这个僵尸网络主要感染目标就是家庭环境中的安卓电视和机顶盒，受影响的机顶盒设备包括 TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTB 和 MX10 等。

感染案例则是遍布全球，但感染程度较高的区域包括巴西、印度、美国、阿根廷、南非和菲律宾，目前奇安信尚不清楚源头恶意软件是如何传播到这些设备的。

值得注意的是 Kimwolf 僵尸网络的 C2 域名在 12 月份至少三次被不明身份的人成功关闭 (推测要么是竞争对手要么是其他还在调查的安全公司)，这迫使僵尸网络转变策略使用基于以太坊的域名系统 (ENS) 来强化基础设施。

这个僵尸网络还与臭名昭著的 AISURU 僵尸网络有关联，攻击者在早期阶段复用 AISURU 的代码，之后为了逃避检测才开发 Kimwolf 僵尸网络，奇安信猜测 AISURU 发起的那些 DDoS 攻击可能有 Kimwolf 参与甚至是后者领导了攻击。

在这里也提醒使用安卓智能电视和机顶盒的用户应当检查设备是否存在默认密码，如果有默认密码应该及时修改，如果发现设备存在某些异常的情况也可以考虑重置设备。

至于设备固件 / 系统能升级的话应该及时升级，不过大多数设备可能在上市后就基本不会发布新固件，所以即便出现安全漏洞想要修复的话也是比较困难的事情。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/