Lumen Technologies的Black Lotus Labs团队表示，自2025年10月初以来，已对超过550个与AISURU/Kimwolf僵尸网络相关的命令与控制（C2）节点实施了流量空路由封锁。

AISURU及其Android版本Kimwolf已成为近期规模最大的僵尸网络之一，能够操控受控设备参与分布式拒绝服务（DDoS）攻击，并为住宅代理服务中转恶意流量。

关于Kimwolf的详细信息于上月浮出水面，奇安信XLab发布了对该恶意软件的全面分析。该软件通过直接或通过预装在设备上的可疑应用，向受感染设备（主要是未经授权的Android电视流媒体设备）推送名为ByteConnect的软件开发工具包（SDK），将其转变为住宅代理节点。

最终结果是，该僵尸网络通过住宅代理网络隧道渗透，感染了超过200万台暴露Android调试桥（ADB）服务的Android设备，使威胁行为者能够大规模入侵电视盒子。

Synthient的后续报告披露，Kimwolf的操作者试图出售代理带宽以换取预付现金。

Black Lotus Labs称，其于2025年9月通过分析位于65.108.5[.]46的Aisuru后端C2服务器，识别出一组源自多个加拿大IP地址的住宅SSH连接。这些IP地址通过SSH访问194.46.59[.]169，即proxy-sdk.14emeliaterracewestroxburyma02132[.]su。

值得注意的是，该二级域名在2025年11月Cloudflare的全球前100域名榜单中排名超越Google，促使这家网络基础设施公司将其从榜单中移除。

随后在2025年10月初，这家网络安全公司表示发现了另一个C2域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su，其解析至104.171.170[.]21。该IP地址属于犹他州托管服务商Resi Rack LLC，该公司自称是“高级游戏服务器托管提供商”。

这一关联至关重要，因为独立安全记者Brian Krebs最近的报告揭示了基于此类僵尸网络的各类代理服务运营者如何在名为resi[.]to的Discord服务器上兜售其盗版资源。这包括Resi Rack的联合创始人，据称他们近两年来一直通过Discord积极销售代理服务。

该服务器现已消失，其所有者名为“d”（推测为昵称“Dort”的缩写），而Snow被认为是僵尸网络主控者。

Black Lotus Labs指出：“10月初，我们观察到Kimwolf在7天内新增僵尸设备数量激增300%，这波增长使僵尸网络总数在月中达到80万台。此次激增中几乎所有的僵尸设备都被列在单一住宅代理服务上出售。”

随后发现，Kimwolf的C2架构在2025年10月20日至11月6日期间扫描PYPROXY等服务以寻找脆弱设备。这一行为源于僵尸网络利用了许多代理服务的安全漏洞，使其能够与住宅代理端点内网中的设备交互并植入恶意软件。

这进而将设备转变为住宅代理节点，导致其互联网服务提供商分配的公网IP地址被列入住宅代理供应商网站出租。威胁行为者（例如这些僵尸网络的幕后黑手）随后租用受感染节点的访问权限，并将其武器化以扫描本地网络，寻找启用ADB模式的设备进行进一步传播。

Black Lotus Labs强调：“在2025年10月成功实施一次空路由封锁后，我们观察到greatfirewallisacensorshiptool域名迁移至104.171.170[.]201（另一个Resi Rack LLC的IP）。随着该服务器上线，我们监测到流向176.65.149[.]19:25565（用于托管其恶意软件的服务器）的流量激增。该服务器所在的自治系统编号与Aisuru僵尸网络当时使用的相同。”

此次披露的背景是，Chawkr报告详细描述了一个包含832台受感染KeeneticOS路由器的复杂代理网络，这些路由器分布在Net By Net Holding LLC、VladLink和GorodSamara等俄罗斯互联网服务提供商中。

报告指出：“所有832台设备一致的SSH指纹和相同配置表明这是自动化大规模攻击的结果，无论是利用窃取的凭证、嵌入式后门还是路由器固件中的已知安全漏洞。每台受感染路由器均保持HTTP（端口80）和SSH（端口22）访问权限。”

由于这些受感染的SOHO路由器充当住宅代理节点，它们使威胁行为者能够隐藏在正常网络流量中进行恶意活动。这说明了攻击者正日益利用消费级设备作为多阶段攻击的通道。

Chawkr指出：“与数据中心IP或知名托管服务商的地址不同，这些住宅代理终端在大多数安全厂商信誉名单和威胁情报源的监测范围之外。其合法的住宅网络分类和清白的IP信誉使恶意流量能够伪装成普通消费者活动，规避那些会立即标记可疑托管基础设施或已知代理服务请求的检测机制。”

觉得这篇文章有趣？请关注我们的Google News、Twitter和LinkedIn账号，阅读我们发布的更多独家内容。