概要

サイバーセキュリティ研究者らは、Asus ルーターを主な標的としている新種のマルウェア KadNap を発見しました。このマルウェアは、悪意のあるトラフィックをプロキシするためのボットネットを形成する役割を果たしています。

感染状況

KadNap は 2025 年 8 月に初めて検出され、現在では 14,000 台以上のデバイスが感染しています。感染被害の 60% 以上が米国に集中しています。その他の被害国には台湾、香港、ロシア、イギリス、オーストラリア、ブラジル、フランス、イタリア、スペインが含まれます。

機能と展開

KadNap はカスタム版の Kademlia 分散ハッシュテーブル (DHT) プロトコルを使用して、インフラストラクチャの IP アドレスを隠すことで、従来のネットワーク監視を回避します。このプロトコルは、ネットワーク内のコンпромイズされたノードがコマンド＆コントロール (C2) サーバーと接続するための手段を提供します。

プロキシサービスの利用

感染したデバイスは、Doppelgänger（「doppelganger[.]shop」）という名前のプロキシサービスによってマーケティングされます。このサービスは 2025 年 5 月から 6 月にかけて開始され、50 カ国以上で「100% の匿名性」を謳っています。

展開の詳細

• shell スクリプトのダウンロード：C2 サーバーから shell スクリプト（aic.sh）をダウンロードします。
• スケジューリング：このスクリプトは、毎時間の 55 分に cron ジョブを設定して、サーバーからスクリプトを取得し、実行します。
• 悪意のある ELF ファイルの展開：スクリプトは、悪意のある ELF ファイルをダウンロードし、それを「kad」として実行します。

対策と展望

ユーザーは、SOHO ルーターを最新の状態に保つ、定期的に再起動する、デフォルトのパスワードを変更する、管理インターフェースを保護する、サポートが終了したモデルを更新するなどの対策を講じるべきです。

関連情報

この記事は、新しい Linux 威胁 ClipXDaemon の情報も含んでいます。これは、暗号通貨ユーザーを標的とするクリッパーアンダーワークスで、Linux X11 環境で暗号通貨アドレスを変更します。

---

元記事: https://thehackernews.com/2026/03/kadnap-malware-infects-14000-edge.html