Siber güvenlik araştırmacıları, 2025 yılının sonlarında keşfedilen ve hızla yayılan "Kimwolf" adlı devasa bir Android botnet'ini detaylı bir şekilde inceledi. Cloudflare'in alan adı sıralamalarında zirveye çıkan C2 (komuta ve kontrol) alan adıyla dikkat çeken Kimwolf, NDK kullanılarak derlenmiş ve tipik DDoS saldırı yeteneklerinin yanı sıra proxy yönlendirme, ters kabuk erişimi ve dosya yönetimi gibi gelişmiş işlevleri bünyesinde barındırıyor. Bu botnet, hassas verileri şifrelemek için basit ama etkili Stack XOR operasyonunu kullanıyor ve geleneksel güvenlik tespitlerinden kaçınmak için DNS sorgularını DNS over TLS (DoT) protokolüyle kapsüllüyor. Ayrıca, C2 kimlik doğrulamasında eliptik eğrilere dayalı dijital imza koruma mekanizması kullanması ve yakın zamanda blockchain alan adlarını kullanarak ele geçirilmelere karşı EtherHiding teknolojisini benimsemesi, benzer kötü amaçlı yazılımlar arasında nadir görülen özellikler arasında yer alıyor.
XLab'in siber tehdit analiz sistemi, Kimwolf'un v4 ve v5 gibi farklı sürümlerini otomatik olarak takip etti. 30 Kasım'da botnet'in C2 alan adlarından birinin ele geçirilmesiyle, araştırmacılar botnet'in gerçek operasyonel ölçeğini doğrudan gözlemleme fırsatı buldu. 3-5 Aralık tarihleri arasında, kayıtlı C2 adresine bağlantı kuran ve Kimwolf C2 protokol özellikleriyle eşleşen iletişim davranışına sahip yaklaşık 2.7 milyon farklı kaynak IP adresi tespit edildi. Bu süre zarfında günlük aktif IP adresleri 1.36 milyon ile 1.83 milyon arasında değişti. Analizler, Kimwolf'un başlıca hedefinin Android tabanlı TV kutuları olduğunu gösteriyor; C2 arka ucunda görüntülenen "Welcome to Android Support Center" mesajı da bu tespiti destekliyor. Botnet'in evlerdeki TV kutularını hedef alması, geniş bir kullanıcı kitlesini etkileme potansiyelini ortaya koyuyor.
Kimwolf botnet'i, gelişmiş gizlenme ve saldırı teknikleri kullanarak milyonlarca Android TV kutusunu hedef almasıyla siber güvenlik dünyasında yeni bir tehdit seviyesini temsil ediyor.