KimwolfボットネットによるBadbox 2.0侵害の衝撃
200万台以上のデバイスに感染を広げた破壊的なボットネット「Kimwolf」の運営者が、中国を拠点とする大規模ボットネット「Badbox 2.0」のコントロールパネルを侵害したことが明らかになりました。Badbox 2.0は、多くのアンドロイドTVストリーミングボックスにプリインストールされた悪意あるソフトウェアによって動作しており、その規模は膨大です。現在、FBIとGoogleはBadbox 2.0の運営者の特定を進めており、Kimwolfの運営者によるこの「自慢話」が、その実態解明に向けた重要な手がかりとなる可能性があります。
Kimwolfの現在の管理者とされる「Dort」と「Snow」は、そのユニークで侵入的な拡散手法で知られています。今回、DortとSnowの元関係者から提供されたスクリーンショットには、Kimwolfの運営者がBadbox 2.0のコントロールパネルにログインしている様子が写っていました。このスクリーンショットには7人の認証済みユーザーが示されており、その中には異質な存在として「ABCD」というアカウントが含まれていました。情報源によると、この「ABCD」アカウントはDortのものであり、Dortは何らかの方法で自身のメールアドレスをBadbox 2.0ボットネットの有効なユーザーとして追加したとされています。
Badbox 2.0の歴史と当局の動き
Badbox 2.0は、Kimwolfが台頭する2025年10月よりも遥か以前から、その悪名を轟かせていました。2025年7月、Googleは1000万台以上もの未承認アンドロイドストリーミングデバイスが関与する広告詐欺を理由に、Badbox 2.0の運営者とされる25人の身元不明の被告に対し、「John Doe」訴訟を提起しています。
Googleは、Badbox 2.0がデバイス購入前の段階で複数の種類のデバイスを侵害するだけでなく、非公式のマーケットプレイスから悪意あるアプリをダウンロードさせることで感染を広げると説明しました。このGoogleの訴訟は、2025年6月に連邦捜査局(FBI)が出した警告の直後に行われたものです。FBIは、サイバー犯罪者が製品にマルウェアを事前設定するか、設定プロセス中にバックドアを含む必須アプリケーションをダウンロードさせることで、ホームネットワークに不正アクセスしていると警告していました。
FBIによると、Badbox 2.0は2024年に初代Badboxキャンペーンが阻止された後に発見されました。初代Badboxは2023年に特定され、主に購入前にバックドアマルウェアで侵害されたアンドロイドOSデバイス(TVボックス)で構成されていました。
コントロールパネルからの手がかり:主要人物の特定
KrebsOnSecurityは当初、Kimwolfの運営者がBadbox 2.0ボットネットをハッキングしたという主張に懐疑的でしたが、コントロールパネルに表示されたqq.comのメールアドレスの履歴を調査し始めたことで状況は一変します。
- 「Chen」アカウント(34557257@qq.com): このメールアドレスは、Beijing Hong Dake Wang Science & Technology Co Ltd.、Beijing Hengchuang Vision Mobile Media Technology Co. Ltd.、Moxin Beijing Science and Technology Co. Ltd.といった複数の中国系テクノロジー企業の連絡先として記載されていました。Beijing Hong Dake Wang Scienceのウェブサイト「asmeisvip[.]net」とBeijing Hengchuang Vision Mobileに関連する「moyix[.]com」は、HUMAN Securityによる2025年3月の報告書でBadbox 2.0ボットネットの配布と管理に関連する数十のサイトの1つとして挙げられています。また、このメールアドレスは「cdh76111」というパスワードを使用しており、このパスワードは「daihaic@gmail.com」と「cathead@gmail.com」でも使用されていることが判明しました。「cathead@gmail.com」は2021年に中国最大のオンライン小売業者であるjd.comに「陳代海 (Chen Daihai)」という名前でアカウントを登録しています。DomainTools.comによると、陳代海の名前はmoyix[.]comの初期登録記録(2008年)に「cathead@astrolink[.]cn」のメールアドレスと共に存在します。ちなみに、astrolink[.]cnもHUMAN Securityの2025年報告書でBadbox 2.0ドメインとして特定されており、「cathead@astrolink[.]cn」はvmud[.]netを含む10以上のドメインを登録しており、これもBadbox 2.0ドメインです。
- 「Mr.Zhu」アカウント(xavierzhu@qq.com): archive.orgに保存されているastrolink[.]cnのキャッシュ版によると、このウェブサイトはBeijing Astrolink Wireless Digital Technology Co. Ltd.というモバイルアプリ開発会社のものであることが示されています。アーカイブされたウェブサイトの「Contact Us」ページには、陳代海が会社の技術部門の一員として、そして朱志宇が「xavier@astrolink[.]cn」として記載されています。この「xavierzhu@qq.com」をConstellaで検索すると、朱志宇の名前で登録されたjd.comアカウントが見つかります。このアカウントで使用されている比較的ユニークなパスワードは、「xavierzhu@gmail.com」で使用されているパスワードと一致し、DomainToolsによるとこれはastrolink[.]cnの初期登録者です。
- 「admin」アカウント(189308024@qq.com): Badbox 2.0パネルにリストされている最初のアカウント「admin」(2020年11月登録)は、このメールアドレスを使用しています。DomainToolsによると、このメールアドレスは2022年の「guilincloud[.]cn」ドメインの登録記録に見られ、登録者名には「Huang Guilin」が含まれています。Constellaの調査では、このメールアドレスが中国の電話番号「18681627767」と関連付けられていることが判明しました。オープンソースインテリジェンスプラットフォームosint.industriesは、この電話番号が2014年に「Guilin Huang (桂林 黄)」という名前で作成されたMicrosoftプロファイルに接続されていることを明らかにしています。サイバーインテリジェンスプラットフォームSpycloudは、この電話番号が2017年に中国のソーシャルメディアプラットフォームWeiboで「h_guilin」というユーザー名でアカウント作成に使用されたと述べています。
残りの3人のユーザーと対応するqq.comのメールアドレスもすべて中国の個人と関連していましたが、彼ら(およびHuang氏)は、陳代海と朱志宇が作成・運営するエンティティや他の企業エンティティとは明らかな関連性を示しませんでした。
不正アクセスがもたらす新たな脅威
Kimwolfの運営者がBadbox 2.0ボットネットに直接アクセスできるという事実は、極めて重大な意味を持ちます。Kimwolfは、住宅用プロキシサービスを巧妙に悪用し、無警戒なユーザーのローカルネットワークにあるファイアウォール背後の脆弱なIoTデバイス(未承認のアンドロイドTVボックスやデジタルフォトフレームなど)に悪意あるコマンドを中継することで拡散してきました。これらのデバイスは、セキュリティや認証機能がほとんど備わっておらず、単純なコマンドで侵害されてしまいます。
プロキシ追跡企業Synthientによる以前の調査では、11の住宅用プロキシプロバイダーがローカルネットワークのプロービングと悪用に脆弱であることが警告され、多くのプロバイダーが対策を講じました。これにより、Kimwolfがプロキシプロバイダーを悪用して数百万台のデバイスに迅速に拡散することは難しくなったと思われました。
しかし、Badbox 2.0のスクリーンショットを提供した情報源は、Kimwolfの運営者が常に「切り札」を隠し持っていたと指摘します。それは、Badbox 2.0ボットネットのコントロールパネルへの秘密のアクセスです。情報源は「Dortは不正アクセスを得た」と述べ、「通常のプロキシプロバイダーはこれを修正したが、Badboxはプロキシ自体を販売していないため修正されていない。DortがBadboxにアクセスできる限り、KimwolfマルウェアをBadbox 2.0に関連するTVボックスに直接ロードできるだろう」と語っています。
DortがどのようにBadboxボットネットパネルへのアクセスを得たかは不明ですが、この不正な「ABCD」アカウントが長く存続する可能性は低いと見られます。コントロールパネルのスクリーンショットにリストされたqq.comのメールアドレスすべてに、この画像と、明らかに不正なABCDアカウントに関する問い合わせが送られているためです。
元記事: https://krebsonsecurity.com/2026/01/who-operates-the-badbox-2-0-botnet/