您正在阅读的报道是一系列独家新闻，它们嵌套在一份更为紧迫的全球互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已严重过时。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无任何安全或认证机制的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络呈现爆炸式增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会强制受控系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与具有破坏性的分布式拒绝服务（DDoS）攻击，此类攻击足以让几乎任何网站一次性瘫痪数天。

然而，比Kimwolf的惊人规模更重要的是其快速传播所采用的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些本应受用户防火墙和互联网路由器保护的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务商允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户互联网连接变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商平台销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐性成本：我们稍后将探讨，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二大安全噩梦在于，它们依赖于少数几款联网微电脑主板，而这些主板没有内置明显的安全或认证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速壮大。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，Kimwolf的运营者已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围内的地址匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全公告中写道。“这使得攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

Lumen Technologies的Black Lotus Labs团队表示，自2025年10月初以来，已对超过550个与AISURU/Kimwolf僵尸网络相关的命令与控制（C2）节点实施了流量空路由封锁。

AISURU及其Android版本Kimwolf已成为近期规模最大的僵尸网络之一，能够操控受控设备参与分布式拒绝服务（DDoS）攻击，并为住宅代理服务中转恶意流量。

关于Kimwolf的详细信息于上月浮出水面，奇安信XLab发布了对该恶意软件的全面分析。该软件通过直接或通过预装在设备上的可疑应用，向受感染设备（主要是未经授权的Android电视流媒体设备）推送名为ByteConnect的软件开发工具包（SDK），将其转变为住宅代理节点。

最终结果是，该僵尸网络通过住宅代理网络隧道渗透，感染了超过200万台暴露Android调试桥（ADB）服务的Android设备，使威胁行为者能够大规模入侵电视盒子。

Synthient的后续报告披露，Kimwolf的操作者试图出售代理带宽以换取预付现金。

Black Lotus Labs称，其于2025年9月通过分析位于65.108.5[.]46的Aisuru后端C2服务器，识别出一组源自多个加拿大IP地址的住宅SSH连接。这些IP地址通过SSH访问194.46.59[.]169，即proxy-sdk.14emeliaterracewestroxburyma02132[.]su。

值得注意的是，该二级域名在2025年11月Cloudflare的全球前100域名榜单中排名超越Google，促使这家网络基础设施公司将其从榜单中移除。

随后在2025年10月初，这家网络安全公司表示发现了另一个C2域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su，其解析至104.171.170[.]21。该IP地址属于犹他州托管服务商Resi Rack LLC，该公司自称是“高级游戏服务器托管提供商”。

这一关联至关重要，因为独立安全记者Brian Krebs最近的报告揭示了基于此类僵尸网络的各类代理服务运营者如何在名为resi[.]to的Discord服务器上兜售其盗版资源。这包括Resi Rack的联合创始人，据称他们近两年来一直通过Discord积极销售代理服务。

该服务器现已消失，其所有者名为“d”（推测为昵称“Dort”的缩写），而Snow被认为是僵尸网络主控者。

Black Lotus Labs指出：“10月初，我们观察到Kimwolf在7天内新增僵尸设备数量激增300%，这波增长使僵尸网络总数在月中达到80万台。此次激增中几乎所有的僵尸设备都被列在单一住宅代理服务上出售。”

随后发现，Kimwolf的C2架构在2025年10月20日至11月6日期间扫描PYPROXY等服务以寻找脆弱设备。这一行为源于僵尸网络利用了许多代理服务的安全漏洞，使其能够与住宅代理端点内网中的设备交互并植入恶意软件。

这进而将设备转变为住宅代理节点，导致其互联网服务提供商分配的公网IP地址被列入住宅代理供应商网站出租。威胁行为者（例如这些僵尸网络的幕后黑手）随后租用受感染节点的访问权限，并将其武器化以扫描本地网络，寻找启用ADB模式的设备进行进一步传播。

Black Lotus Labs强调：“在2025年10月成功实施一次空路由封锁后，我们观察到greatfirewallisacensorshiptool域名迁移至104.171.170[.]201（另一个Resi Rack LLC的IP）。随着该服务器上线，我们监测到流向176.65.149[.]19:25565（用于托管其恶意软件的服务器）的流量激增。该服务器所在的自治系统编号与Aisuru僵尸网络当时使用的相同。”

此次披露的背景是，Chawkr报告详细描述了一个包含832台受感染KeeneticOS路由器的复杂代理网络，这些路由器分布在Net By Net Holding LLC、VladLink和GorodSamara等俄罗斯互联网服务提供商中。

报告指出：“所有832台设备一致的SSH指纹和相同配置表明这是自动化大规模攻击的结果，无论是利用窃取的凭证、嵌入式后门还是路由器固件中的已知安全漏洞。每台受感染路由器均保持HTTP（端口80）和SSH（端口22）访问权限。”

由于这些受感染的SOHO路由器充当住宅代理节点，它们使威胁行为者能够隐藏在正常网络流量中进行恶意活动。这说明了攻击者正日益利用消费级设备作为多阶段攻击的通道。

Chawkr指出：“与数据中心IP或知名托管服务商的地址不同，这些住宅代理终端在大多数安全厂商信誉名单和威胁情报源的监测范围之外。其合法的住宅网络分类和清白的IP信誉使恶意流量能够伪装成普通消费者活动，规避那些会立即标记可疑托管基础设施或已知代理服务请求的检测机制。”

觉得这篇文章有趣？请关注我们的Google News、Twitter和LinkedIn账号，阅读我们发布的更多独家内容。

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全或身份验证机制的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎所有网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几款联网微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令，同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切追踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址（包括众所周知的网络地址转换（NAT）范围10.0.0.0/8、192.168.0.0/16和172.16.0.0/12）的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公室网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，只需将其域名系统（DNS）设置更改为与RFC-1918地址范围相匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全公告中写道。“这使攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经过时，并带来了危险。

安全公司Synthient目前观察到全球有超过200万台设备感染了Kimwolf，主要集中在越南、巴西、印度、沙特阿拉伯、俄罗斯和美国。Synthient发现，其中三分之二的Kimwolf感染设备是内置无安全或身份验证功能的Android电视盒。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回传，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒安装，这些电视盒由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒构成了目前估计感染Kimwolf的200万个系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非授权Android电视盒带来的第二大安全噩梦是，它们依赖于少数几款联网微电脑板，而这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令，同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围中的设置匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全通告中写道。“这使得攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

您正在阅读的报道是一系列独家新闻，它们嵌套在一份更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经过时，并带来了危险。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站连续数天瘫痪的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些电视盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这项交易存在隐性成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站上也大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几款联网微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址（包括众所周知的网络地址转换（NAT）范围10.0.0.0/8、192.168.0.0/16和172.16.0.0/12）的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公室网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，只需将其域名系统（DNS）设置更改为与RFC-1918地址范围相匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份此类安全通告中写道。“这使攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能投放恶意软件。”

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中主要集中在越南、巴西、印度、沙特阿拉伯、俄罗斯和美国。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站一次性瘫痪数天的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf惊人的规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回传，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户将其网络流量匿名化并定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些电视盒子由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为免费流式传输某些类型订阅视频内容的一种方式。但这项交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子存在两大安全问题。首先是其中相当大一部分预装了恶意软件，或者要求用户下载非官方的Android应用商店和恶意软件，才能将设备用于其宣称的目的（视频内容盗版）。这些不速之客中最典型的是将设备转变为住宅代理节点的小程序，这些节点被转售给他人。

这些数码相框和非授权Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几种联网的微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发出单个命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是22岁的安全公司Synthient的创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru的一个新的基于Android的变种。Aisuru是一个僵尸网络，去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务没有采取足够措施来防止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围中的设置匹配即可。

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前观察到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf惊人的规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这项交易存在隐性成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万台感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站上也大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子存在两大安全问题。首先是其中相当大一部分预装了恶意软件，或者要求用户下载非官方的Android应用商店和恶意软件，才能将设备用于其宣称的目的（视频内容盗版）。这些不速之客中最典型的是将设备转变为住宅代理节点的小程序，这些节点随后被转售给他人。

这些数码相框和非授权Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几种联网的微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发出单个命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru的一个新的基于Android的变种。Aisuru是一个僵尸网络，去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务没有采取足够措施来防止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置以匹配RFC-1918地址范围内的设置即可。