「キムウルフ」ボットネットの脅威と広がり
2026年が幕を開け、新たな脅威が明らかになりました。破壊的なボットネット「キムウルフ(Kimwolf)」が、非公式のAndroid TVストリーミングボックスを介して200万台以上のデバイスを感染させたことが判明しました。このボットネットは、感染したデバイスを分散型サービス拒否(DDoS)攻撃や、悪意あるインターネットトラフィックを中継する「住宅用プロキシ」サービスに悪用しています。
中国のセキュリティ企業XLabが2025年12月17日に公開した詳細な報告書によると、キムウルフは特に、1000種類以上の未承認Android TVストリーミングデバイスに工場出荷時からインストールされている住宅用プロキシソフトウェアを標的にしています。これにより、デバイスのインターネットアドレスが、広告詐欺、アカウント乗っ取り、大量のコンテンツスクレイピングに関連するトラフィックの中継に使われてしまいます。
XLabの調査では、キムウルフと、その初期バージョンである「アイする(Aisuru)」ボットネットが、同一のサイバー犯罪者およびインフラストラクチャによって展開されている「決定的な証拠」が発見されました。両ボットネットは、2025年12月8日に同じインターネットアドレス(93.95.112[.]59)から配布されていることが確認されています。
Resi Rack LLCの関与とプロキシビジネス
XLabによって指摘されたインターネットアドレス範囲は、ユタ州レヒを拠点とするResi Rack LLCに割り当てられています。同社のウェブサイトでは「プレミアムゲームサーバーホスティングプロバイダー」と謳われていますが、インターネットのマネーメイキングフォーラム「BlackHatWorld」では「プレミアム住宅用プロキシホスティングおよびプロキシソフトウェアソリューション企業」として広告を出しています。
Resi Rackの共同創設者であるキャシディ・ヘイルズ氏は、キムウルフが自社のネットワークを利用しているとの通知を12月10日に受け取り、「直ちにこの問題に対処した」と述べています。しかし、プロキシサービスを追跡する新興企業Synthientの創設者ベンジャミン・ブルンダージ氏の調査では、このResi RackのIPアドレスが、2025年11月24日、あるいはそれ以前からキムウルフのプロキシトラフィックの誘導に使用されていたことが示されています。Synthientは、2025年10月から12月にかけて、キムウルフのプロキシインフラストラクチャに関連するResi RackのIPアドレスを少なくとも7つ追跡していました。
ヘイルズ氏とそのビジネスパートナーである「Linus」は、以前は主要な米国のインターネットサービスプロバイダーのIPアドレスブロックをルーティングすることで「静的ISPプロキシ」を販売していました。しかし、2025年2月にAT&TがISPが所有・管理していないネットワークブロックのルーティングを停止すると発表したことにより、彼らのビジネスモデルは転換を余儀なくされました。
ボットマスター「Dort」と「Snow」の暗躍
「resi[.]to」Discordサーバーの所有者は、「Dort」という略称のユーザーでした。この「Dort」というニックネームは、Aisuruボットネットの初期マーケティングに関与したと認めるブラジル人「Forky」の証言にも登場します。Forky氏は、Dortと「Snow」という人物が現在、Aisuru/Kimwolfボットネットを支配していると主張しています。
キムウルフに関する最初の記事が公開された数時間後の1月2日、「resi[.]to」Discordサーバーの履歴が予告なく消去され、サーバー自体も消滅しました。その後、一部の活発なメンバーはTelegramチャンネルに移動し、ブルンダージ氏の個人情報を晒し、信頼できる「防弾ホスティング」が見つからないことに不平を述べていました。
ByteConnect、Plainproxies、そして3XK Tech
SynthientとXLabの報告書は、キムウルフが感染システムをインターネットトラフィックのリレーに変えるプログラムを展開するために利用されたことを示しています。その中には、Plainproxiesが提供するByteConnectというソフトウェア開発キット(SDK)をインストールするコンポーネントも含まれていました。
ByteConnectは「アプリを倫理的かつ無料で収益化する」と謳っていますが、SynthientがByteConnectのSDKに接続したところ、メールサーバーや人気のあるオンラインウェブサイトを標的とした大量の認証情報流出攻撃が観測されました。PlainproxiesのCEOであるフリードリヒ・クラフト氏は、ByteConnect Ltd.の共同創設者でもあり、ドイツでホスティング企業「3XK Tech GmbH」を運営しています。
2025年7月、Cloudflareは3XK Tech(Drei-K-Tech)がインターネットにおけるアプリケーション層DDoS攻撃の最大の発生源となっていると報告しました。さらに、2025年11月には、セキュリティ企業GreyNoise Intelligenceが、3XK TechのIPアドレスが、パロアルトネットワークス社製セキュリティ製品の新たに発見された重大な脆弱性に対するインターネットスキャンの約4分の3を占めていることを明らかにしています。
異常な低価格のプロキシ提供者「Maskify」
もう一つの重要なプロキシプロバイダーとして浮上したのが「Maskify」です。同社は現在、複数のサイバー犯罪フォーラムで、600万以上の住宅用インターネットアドレスをレンタルしていると宣伝しています。Maskifyのサービス料金は、1ギガバイトのデータ中継につき30セントという驚くべき低価格です。Synthientは、この価格帯が「異常に低く」、他のプロキシプロバイダーよりもはるかに安価であると指摘しており、非倫理的な手段でプロキシが調達されていることを示唆しています。
ボットマスターたちの報復とEthereumブロックチェーンの悪用
キムウルフに関する最初の記事が公開された後、SynthientのウェブサイトはDDoS攻撃を受け、ブルンダージ氏はボットネットを介して個人情報を晒される被害に遭いました。この嫌がらせのメッセージは、Ethereum Name Service(ENS)にアップロードされたテキストレコードとして出現しました。
XLabが記録したところによると、12月中旬にキムウルフの運営者たちはインフラストラクチャをアップグレードし、ボットネットの制御サーバーに対する絶え間ないテイクダウンの試みに耐えるため、ENSを利用し始めました。ENSの分散型かつ規制されない性質を利用することで、ボットマスターは制御サーバーがテイクダウンされても、ENSのテキストレコードを更新するだけで、感染デバイスに新しい制御サーバーのアドレスを即座に通知できるのです。
キムウルフのENS指示に含まれるテキストレコードには、ブルンダージ氏の個人情報や、「フラグが立てられた場合は、TVボックスを破壊することを推奨する」といった皮肉めいたメッセージも含まれていました。
無許可Android TVボックスの危険性と対策
SynthientとXLabはともに、キムウルフが多数のAndroid TVストリーミングボックスモデルを標的にしていると指摘しています。これらのデバイスの多くはセキュリティ保護がゼロであり、工場出荷時からプロキシマルウェアが組み込まれているものもあります。これらのデバイスにデータパケットを送信できる場合、管理権限を奪取することも可能であるとされています。
もし、これらのモデル名や番号に合致するTVボックスをお持ちの場合は、直ちにネットワークから切断することを強く推奨します。また、家族や友人がこれらのデバイスを使用している場合は、この記事へのリンクを共有し、デバイスを接続し続けることで生じる潜在的なトラブルと危害について説明し、注意を促してください。
元記事: https://krebsonsecurity.com/2026/01/who-benefited-from-the-aisuru-and-kimwolf-botnets/