KrebsOnSecurity.com 于今日迎来十六周年纪念！衷心感谢所有读者——无论是新朋友、老读者，还是匆匆路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴郁的日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚收效甚微，未能阻止Stark的所有者改头换面，并将大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity报道了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦特工表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入窥探了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、令人信服且造成巨大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后至少提起了两起针对这些团体和数十名未具名被告的无名氏诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在俄罗斯最大的私立教育公司——协同大学——所在的同一网络托管的网站上做广告。

一如既往，KrebsOnSecurity努力密切关注全球最大、最具破坏性的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能成为谷歌优秀Project Shield服务的用户）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底首次出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

新一轮GoBruteforcer攻击瞄准了加密货币和区块链项目的数据库，意图将其纳入一个僵尸网络。该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。

Check Point Research在上周发布的分析报告中指出："当前这波攻击活动由两个因素驱动：一是AI生成的服务器部署示例被大量复用，传播了常见的用户名和脆弱的默认设置；二是诸如XAMPP等遗留Web栈的持续存在，这些栈暴露了FTP和管理界面，且加固程度极低。"

GoBruteforcer（亦称GoBrut）最初由Palo Alto Networks Unit 42于2023年3月记录。该恶意软件能够针对运行x86、x64和ARM架构的类Unix平台，部署一个互联网中继聊天（IRC）机器人和一个用于远程访问的Web Shell，同时获取一个暴力破解模块以扫描易受攻击的系统并扩大僵尸网络的覆盖范围。

Lumen Technologies的Black Lotus Labs团队在2025年9月的一份后续报告中发现，受另一个名为SystemBC的恶意软件家族控制的一部分受感染机器人，也属于GoBruteforcer僵尸网络的一部分。

Check Point表示，其在2025年中识别出了一个更复杂的Golang恶意软件版本。该版本包含一个用跨平台编程语言重写、经过高度混淆的IRC机器人，并改进了持久化机制、进程伪装技术和动态凭证列表。

凭证列表包含一系列允许远程登录的常见用户名和密码组合（例如：myuser:Abcd@123 或 appeaser:admin123456）。选择这些名称并非偶然，因为它们曾出现在数据库教程和供应商文档中，而这些资料都被用于训练大型语言模型（LLM），导致模型生成的代码片段带有相同的默认用户名。

列表中的其他一些用户名则专注于加密货币领域（例如：cryptouser、appcrypto、crypto_app和crypto）或针对phpMyAdmin面板（例如：root、wordpress和wpuser）。

Check Point称："攻击者为每次攻击活动复用一个小而稳定的密码池，从中刷新每项任务列表，并每周数次轮换用户名和特定领域的添加项，以追求不同的目标。与其他服务不同，FTP暴力破解使用的是嵌入在暴力破解器二进制文件中的一小部分硬编码凭证。该内置集合指向Web托管栈和默认服务账户。"

进一步分析此次攻击活动发现，其中一台被入侵的主机被用于部署一个模块，该模块会遍历一系列TRON区块链地址，并使用tronscanapi[.]com服务查询余额，以识别资金非零的账户。这表明攻击者正协同努力地针对区块链项目。

"GoBruteforcer例证了一个更广泛且持续存在的问题：暴露的基础设施、脆弱的凭证和日益自动化的工具相结合，"Check Point表示。"虽然该僵尸网络本身在技术上并不复杂，但其操作者受益于大量仍在线的配置不当的服务。"

此次披露之际，GreyNoise揭示威胁行为者正在系统地扫描互联网，寻找可能提供商业LLM服务访问权限的配置不当的代理服务器。

在这两波活动中，其中一波在2025年10月至2026年1月期间，利用了服务器端请求伪造（SSRF）漏洞，针对Ollama的模型拉取功能和Twilio SMS webhook集成。基于对ProjectDiscovery的OAST基础设施的使用，推测该活动可能源自安全研究人员或漏洞赏金猎人。

第二波活动始于2025年12月28日，被评估为一次大规模枚举尝试，旨在识别与阿里巴巴、Anthropic、DeepSeek、Google、Meta、Mistral、OpenAI和xAI相关的暴露或配置不当的LLM端点。扫描源自IP地址45.88.186[.]70和204.76.203[.]125。

这家威胁情报公司表示："自2025年12月28日起，两个IP地址对超过73个LLM模型端点展开了有方法的探测。在十一天内，它们生成了80,469次会话——这是针对可能泄露商业API访问权限的配置不当代理服务器的系统性侦察。"

觉得这篇文章有趣吗？请关注我们的Google News、Twitter和LinkedIn，阅读我们发布的更多独家内容。

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全或身份验证机制的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎所有网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几款联网微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令，同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切追踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址（包括众所周知的网络地址转换（NAT）范围10.0.0.0/8、192.168.0.0/16和172.16.0.0/12）的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公室网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，只需将其域名系统（DNS）设置更改为与RFC-1918地址范围相匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全公告中写道。“这使攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

新一轮GoBruteforcer僵尸网络恶意软件攻击正针对暴露服务器上的加密货币和区块链项目数据库，这些服务器被认为使用了AI生成的配置示例进行部署。

GoBruteforcer亦被称为GoBrut。这是一个基于Golang的僵尸网络，通常针对暴露的FTP、MySQL、PostgreSQL和phpMyAdmin服务。

该恶意软件常利用被入侵的Linux服务器扫描随机公共IP地址，并实施暴力登录攻击。

利用薄弱防御

Check Point研究人员估计，目前有超过50,000台面向互联网的服务器可能易受GoBrut攻击。

他们指出，初始入侵通常通过运行XAMPP的服务器上的FTP服务实现，因为其配置常使用脆弱的默认密码，除非管理员专门进行安全配置。

"当攻击者使用标准账户（通常是daemon或nobody）和脆弱的默认密码获得XAMPP FTP访问权限后，典型下一步是将Web Shell上传至网站根目录。" ——Check Point

恶意软件活动在10-400秒延迟后启动，在x86_64架构上发起最多95个暴力破解线程，扫描随机公共IP地址段，同时跳过私有网络、AWS云地址段和美国政府网络。

每个工作线程生成单个随机公共IPv4地址，探测相关服务端口，遍历提供的凭据列表后退出。系统会持续生成新工作线程以维持设定的并发级别。

FTP模块依赖直接嵌入二进制文件的22组用户名-密码硬编码列表。这些凭据与XAMPP等网络托管堆栈中默认或常用部署账户高度重合。

GoBruteforcer感染链

Check Point表示，在近期攻击活动中，GoBruteforcer的活跃度因大型语言模型（LLM）生成的通用服务器配置片段被重复使用而提升，这导致appuser、myuser、operator等脆弱可预测的默认用户名大量扩散。

这些用户名频繁出现在AI生成的Docker和DevOps指令中，使研究人员相信相关配置已被应用于实际系统，从而导致它们易受密码喷洒攻击。

助长该僵尸网络近期活动的第二个趋势是XAMPP等过时服务器堆栈仍在使用默认凭据和开放FTP服务。这类部署暴露了脆弱的网站根目录，使得攻击者能够植入Web Shell。

Check Point的报告重点披露了一场攻击活动：受感染主机被植入TRON钱包扫描工具，可对TRON和币安智能链（BSC）进行全网扫描。攻击者使用包含约23,000个TRON地址的文件，通过自动化工具定位并清空非零余额的钱包。

防御GoBruteforcer的管理员应避免使用AI生成的部署指南，并采用非默认用户名配合高强度唯一密码。

同时建议检查FTP、phpMyAdmin、MySQL和PostgreSQL的服务暴露情况，并用更安全的替代方案替换XAMPP等过时软件堆栈。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，2025年我们的报道贯穿了一个强烈的主题——"恶有恶报"，重点关注那些为复杂且全球分布的网络犯罪服务提供便利的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity剖析了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对其处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起高达1.5亿美元加密货币盗窃案的美国联邦探员表示，他们也得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

今年一月，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多个美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月，巴基斯坦逮捕了21名据称为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次对其进行了剖析。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机广告出现在一个网站上，该网站与俄罗斯最大的私立教育公司——协同大学——托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能受惠于谷歌卓越的Project Shield服务）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击规模的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

您正在阅读的报道是一系列独家新闻，它们嵌套在一份更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经过时，并带来了危险。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站连续数天瘫痪的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些电视盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这项交易存在隐性成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站上也大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几款联网微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址（包括众所周知的网络地址转换（NAT）范围10.0.0.0/8、192.168.0.0/16和172.16.0.0/12）的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公室网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，只需将其域名系统（DNS）设置更改为与RFC-1918地址范围相匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份此类安全通告中写道。“这使攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能投放恶意软件。”

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中主要集中在越南、巴西、印度、沙特阿拉伯、俄罗斯和美国。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站一次性瘫痪数天的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf惊人的规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回传，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户将其网络流量匿名化并定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些电视盒子由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为免费流式传输某些类型订阅视频内容的一种方式。但这项交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子存在两大安全问题。首先是其中相当大一部分预装了恶意软件，或者要求用户下载非官方的Android应用商店和恶意软件，才能将设备用于其宣称的目的（视频内容盗版）。这些不速之客中最典型的是将设备转变为住宅代理节点的小程序，这些节点被转售给他人。

这些数码相框和非授权Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几种联网的微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发出单个命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是22岁的安全公司Synthient的创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru的一个新的基于Android的变种。Aisuru是一个僵尸网络，去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务没有采取足够措施来防止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围中的设置匹配即可。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"提供商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚措施几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity 报道了Cryptomus，这家在加拿大注册的金融公司成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity 发布了研究人员的发现，他们得出结论：一系列针对数十名受害者的六位数网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦探员表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，强制向用户发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商的持续SMS钓鱼或"短信钓鱼"，这些供应商让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，源于2021年本网站的一篇报道，该报道揭示了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的联系，该寡头旗下的俄罗斯大学为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在一个网站上的广告，该网站与俄罗斯最大的私立教育公司——协同大学托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络，这些网络今年以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com 遭受了当时谷歌所缓解过的最大规模DDoS攻击（我们很荣幸受到谷歌卓越的Project Shield服务的保护）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续且有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。