您正在阅读的报道是一系列独家新闻，它们嵌套在一份更为紧迫的全球互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已严重过时。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无任何安全或认证机制的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络呈现爆炸式增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会强制受控系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与具有破坏性的分布式拒绝服务（DDoS）攻击，此类攻击足以让几乎任何网站一次性瘫痪数天。

然而，比Kimwolf的惊人规模更重要的是其快速传播所采用的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些本应受用户防火墙和互联网路由器保护的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务商允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户互联网连接变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商平台销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐性成本：我们稍后将探讨，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二大安全噩梦在于，它们依赖于少数几款联网微电脑主板，而这些主板没有内置明显的安全或认证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速壮大。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，Kimwolf的运营者已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围内的地址匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全公告中写道。“这使得攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经过时，并带来了危险。

安全公司Synthient目前观察到全球有超过200万台设备感染了Kimwolf，主要集中在越南、巴西、印度、沙特阿拉伯、俄罗斯和美国。Synthient发现，其中三分之二的Kimwolf感染设备是内置无安全或身份验证功能的Android电视盒。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回传，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒安装，这些电视盒由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒构成了目前估计感染Kimwolf的200万个系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非授权Android电视盒带来的第二大安全噩梦是，它们依赖于少数几款联网微电脑板，而这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令，同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围中的设置匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全通告中写道。“这使得攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

直接导航——即在浏览器中手动输入域名访问网站的行为——正面临前所未有的风险：一项新研究发现，绝大多数"停放"域名（主要是过期或闲置域名，以及热门网站的常见拼写错误）现在都被配置为重定向访问者至传播诈骗和恶意软件的网站。

2025年10月，模仿FBI网络犯罪投诉中心网站的相似域名曾显示无威胁的停放页面（左图），而移动用户则被立即导向欺诈内容（右图）。图片来源：Infoblox。

当互联网用户尝试访问过期域名或意外导航至相似的"域名抢注"网站时，通常会被导向域名停放公司的占位页面。这些公司通过展示付费第三方网站的链接，试图从错误流量中获利。

十年前，访问这些停放域名后被重定向至恶意网站的概率相对较低：2014年研究人员发现（PDF），无论访问者是否点击停放页面上的链接，停放域名将用户重定向至恶意网站的概率不足5%。

但在过去几个月的系列实验中，安全公司Infoblox的研究人员表示，他们发现情况现已完全逆转，恶意内容目前已成为停放网站的常态。

"在大规模实验中，我们发现超过90%的情况下，停放域名的访问者会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅服务或恶意软件。这是因为停放公司将'点击'出售给广告商，而广告商又经常将这些流量转售给第三方。"Infoblox研究人员在今日发布的论文中写道。

Infoblox发现，如果访问者使用虚拟专用网络（VPN）或非住宅IP地址访问停放网站，这些网站会显示正常内容。例如，Scotiabank.com客户若将域名误输为scotaibank[.]com，使用VPN时会看到正常停放页面，但使用住宅IP地址访问则会被重定向至试图传播诈骗、恶意软件或其他不良内容的网站。需要强调的是，仅需使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名，就会触发这种重定向。

据Infoblox调查，scotaibank[.]com的所有者拥有近3000个仿冒域名组合，包括gmail[.]com——该域名已被证实配置了用于接收邮件的独立邮件服务器。这意味着如果您在发送邮件给Gmail用户时不小心遗漏了"gmail.com"中的字母"l"，这封邮件不会消失或退回，而是直接落入诈骗者手中。报告指出，该域名近期还被用于多起商业邮件入侵攻击，通过附带木马恶意软件的"付款失败"诱饵进行欺诈。

Infoblox发现该特定域名持有者（通过公共DNS服务器torresdns[.]com暴露）针对数十个顶级网站建立了域名抢注页面，包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些抢注域名的无害化列表可在此处查看（所列域名中的点号已替换为逗号）。

Infoblox威胁研究员David Brunsdon表示，停放页面会让访问者经历一系列重定向链，同时通过IP地理位置、设备指纹识别和Cookie持续分析用户系统，以确定最终重定向目标。

"通常在威胁到达前会存在重定向链——涉及停放公司外部的一到两个域名，"Brunsdon说。"每次交接时设备都会被反复分析，然后被传递到恶意域名，或者如果判定不值得攻击，则转向Amazon.com或Alibaba.com等诱饵页面。"

访问scotaibank.com时的重定向路径样本。每个分支包含观察到的系列域名，包括颜色编码的着陆页。图片来源：Infoblox。

Infoblox指出，另一个控制domaincntrol[.]com的威胁行为体（该域名与GoDaddy名称服务器仅差一个字符）长期利用DNS配置中的拼写错误将用户导向恶意网站。但最近几个月发现，这种恶意重定向仅发生在访问者使用Cloudflare DNS解析器（1.1.1.1）查询错误配置域名时，其他所有访问者只会收到拒绝加载的页面。

研究人员发现，甚至知名政府域名的变体也已成为恶意广告网络的目标。

"当我们有研究人员尝试向FBI网络犯罪投诉中心（IC3）举报犯罪时，他们意外访问了ic3[.]org而非ic3[.]gov，"报告指出。"他们的手机很快被重定向到虚假的'Drive订阅已过期'页面。他们还算幸运只遇到诈骗；根据我们的研究，他们同样可能轻易遭遇信息窃取程序或木马病毒。"

Infoblox报告强调，他们追踪的恶意活动无法归因于任何已知方，研究中提及的域名停放或广告平台与其记录的恶意广告行为无关。

但报告最终指出，尽管停放公司声称只与顶级广告商合作，但这些域名的流量经常被转售给联盟网络，经过多次倒手后，最终广告商与停放公司已不存在直接业务关系。