我们2026年的首个报道揭示了名为Kimwolf的新型破坏性僵尸网络如何通过大规模入侵大量非官方Android TV流媒体盒子，感染了超过两百万台设备。今天，我们将深入挖掘黑客、网络运营商及服务方留下的数字线索，这些实体似乎都从Kimwolf的传播中获益。

2025年12月17日，中国安全公司XLab发布了一份关于Kimwolf的深度分析报告。该僵尸网络会强制受感染设备参与分布式拒绝服务（DDoS）攻击，并为所谓的“住宅代理”服务转发滥用性和恶意的互联网流量。

将用户设备转变为住宅代理的软件通常被悄无声息地捆绑在移动应用和游戏中。Kimwolf专门针对出厂预装在超过一千种不同型号的非授权Android TV流媒体设备上的住宅代理软件。很快，这些住宅代理的互联网地址就开始输送与广告欺诈、账户接管尝试和大规模内容抓取相关的流量。

XLab的报告解释称，其研究人员发现了“确凿证据”，证明相同的网络犯罪分子和基础设施被用于部署Kimwolf和Aisuru僵尸网络——后者是Kimwolf的早期版本，同样劫持设备用于DDoS攻击和代理服务。

XLab表示，自10月起就怀疑Kimwolf和Aisuru的作者和运营者是同一批人，部分依据是两者随时间推移共享的代码变更。但该公司称，这些怀疑在12月8日得到证实，当时他们观察到两个僵尸网络变种均通过同一互联网地址93.95.112[.]59进行分发。

图片：XLab。

RESI RACK

公开记录显示，XLab标记的互联网地址范围被分配给了位于犹他州李海的Resi Rack LLC公司。Resi Rack的网站自称是“高级游戏服务器托管提供商”。同时，Resi Rack在互联网赚钱论坛BlackHatWorld上的广告则称其为“高级住宅代理托管及代理软件解决方案公司”。

Resi Rack联合创始人Cassidy Hales告诉KrebsOnSecurity，他的公司在12月10日收到了关于Kimwolf使用其网络的通知，“其中详细说明了我们一位租用服务器的客户所做的事情。”

“当我们收到这封邮件时，我们立即处理了这个问题，”Hales在回复评论请求的邮件中写道。“我们非常失望此事现在与我们的名字关联在一起，这完全不是我们公司的本意。”

XLab在12月8日引用的Resi Rack互联网地址，在那之前两周多就已进入KrebsOnSecurity的视野。Benjamin Brundage是追踪代理服务的初创公司Synthient的创始人。2025年10月下旬，Brundage分享说，那些销售各种从Aisuru和Kimwolf僵尸网络中获益的代理服务的人，正在一个名为resi[.]to的新Discord服务器上进行此类活动。

2025年11月24日，resi-dot-to Discord频道的一名成员分享了一个负责通过感染了Kimwolf僵尸网络的Android TV流媒体盒子代理流量的IP地址。

当KrebsOnSecurity在10月下旬作为沉默潜伏者加入resi[.]to Discord频道时，该服务器成员不足150人，其中包括“Shox”——Resi Rack联合创始人Hales先生使用的昵称——以及他的商业伙伴“Linus”，后者未回应置评请求。

resi[.]to Discord频道的其他成员会定期发布负责通过Kimwolf僵尸网络代理流量的新IP地址。如上方的resi[.]to截图所示，XLab标记的那个Resi Rack互联网地址早在11月24日（如果不是更早）就被Kimwolf用于引导代理流量。总而言之，Synthient表示，它在2025年10月至12月期间追踪到至少七个与Kimwolf代理基础设施相关的静态Resi Rack IP地址。

Resi Rack的两位共同所有者均未回应后续问题。两人近两年来一直活跃于通过Discord销售代理服务。根据对网络情报公司Flashpoint索引的Discord消息的审查，Shox和Linus在2024年大部分时间里，通过路由美国主要互联网服务提供商的各种互联网地址块来销售静态“ISP代理”。

2025年2月，AT&T宣布自2025年7月31日起，将不再为非AT&T拥有和管理的网络块发起路由（其他主要ISP此后也采取了类似举措）。不到一个月后，Shox和Linus就告知客户，由于这些政策变化，他们将很快停止提供静态ISP代理。

Shox和Linux，谈论他们停止销售ISP代理的决定。

DORT & SNOW

resi[.]to Discord服务器的声明所有者使用缩写用户名“D”。这个首字母似乎是黑客代号“Dort”的简称，该名字在这些Discord聊天中频繁出现。

Dort在resi dot to上的个人资料。

这个“Dort”昵称出现在KrebsOnSecurity最近与“Forky”的对话中。Forky是一名巴西男子，他承认在2024年底Aisuru僵尸网络创立初期参与了其营销活动。但他坚决否认与2025年下半年归咎于Aisuru的一系列破纪录的大规模DDoS攻击有任何关系，称僵尸网络在那时已被竞争对手接管。

Forky断言，Dort是加拿大居民，并且是当前控制Aisuru/Kimwolf僵尸网络的至少两人之一。Forky指名的另一位Aisuru/Kimwolf僵尸网络控制者使用的昵称是“Snow”。

1月2日——就在我们关于Kimwolf的报道发布几小时后——resi[.]to上的历史聊天记录被毫无预警地清除，并替换为一条针对Synthient创始人的充满脏话的信息。几分钟后，整个服务器消失了。

Lumen Technologies的Black Lotus Labs团队表示，自2025年10月初以来，已对超过550个与AISURU/Kimwolf僵尸网络相关的命令与控制（C2）节点实施了流量空路由封锁。

AISURU及其Android版本Kimwolf已成为近期规模最大的僵尸网络之一，能够操控受控设备参与分布式拒绝服务（DDoS）攻击，并为住宅代理服务中转恶意流量。

关于Kimwolf的详细信息于上月浮出水面，奇安信XLab发布了对该恶意软件的全面分析。该软件通过直接或通过预装在设备上的可疑应用，向受感染设备（主要是未经授权的Android电视流媒体设备）推送名为ByteConnect的软件开发工具包（SDK），将其转变为住宅代理节点。

最终结果是，该僵尸网络通过住宅代理网络隧道渗透，感染了超过200万台暴露Android调试桥（ADB）服务的Android设备，使威胁行为者能够大规模入侵电视盒子。

Synthient的后续报告披露，Kimwolf的操作者试图出售代理带宽以换取预付现金。

Black Lotus Labs称，其于2025年9月通过分析位于65.108.5[.]46的Aisuru后端C2服务器，识别出一组源自多个加拿大IP地址的住宅SSH连接。这些IP地址通过SSH访问194.46.59[.]169，即proxy-sdk.14emeliaterracewestroxburyma02132[.]su。

值得注意的是，该二级域名在2025年11月Cloudflare的全球前100域名榜单中排名超越Google，促使这家网络基础设施公司将其从榜单中移除。

随后在2025年10月初，这家网络安全公司表示发现了另一个C2域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su，其解析至104.171.170[.]21。该IP地址属于犹他州托管服务商Resi Rack LLC，该公司自称是“高级游戏服务器托管提供商”。

这一关联至关重要，因为独立安全记者Brian Krebs最近的报告揭示了基于此类僵尸网络的各类代理服务运营者如何在名为resi[.]to的Discord服务器上兜售其盗版资源。这包括Resi Rack的联合创始人，据称他们近两年来一直通过Discord积极销售代理服务。

该服务器现已消失，其所有者名为“d”（推测为昵称“Dort”的缩写），而Snow被认为是僵尸网络主控者。

Black Lotus Labs指出：“10月初，我们观察到Kimwolf在7天内新增僵尸设备数量激增300%，这波增长使僵尸网络总数在月中达到80万台。此次激增中几乎所有的僵尸设备都被列在单一住宅代理服务上出售。”

随后发现，Kimwolf的C2架构在2025年10月20日至11月6日期间扫描PYPROXY等服务以寻找脆弱设备。这一行为源于僵尸网络利用了许多代理服务的安全漏洞，使其能够与住宅代理端点内网中的设备交互并植入恶意软件。

这进而将设备转变为住宅代理节点，导致其互联网服务提供商分配的公网IP地址被列入住宅代理供应商网站出租。威胁行为者（例如这些僵尸网络的幕后黑手）随后租用受感染节点的访问权限，并将其武器化以扫描本地网络，寻找启用ADB模式的设备进行进一步传播。

Black Lotus Labs强调：“在2025年10月成功实施一次空路由封锁后，我们观察到greatfirewallisacensorshiptool域名迁移至104.171.170[.]201（另一个Resi Rack LLC的IP）。随着该服务器上线，我们监测到流向176.65.149[.]19:25565（用于托管其恶意软件的服务器）的流量激增。该服务器所在的自治系统编号与Aisuru僵尸网络当时使用的相同。”

此次披露的背景是，Chawkr报告详细描述了一个包含832台受感染KeeneticOS路由器的复杂代理网络，这些路由器分布在Net By Net Holding LLC、VladLink和GorodSamara等俄罗斯互联网服务提供商中。

报告指出：“所有832台设备一致的SSH指纹和相同配置表明这是自动化大规模攻击的结果，无论是利用窃取的凭证、嵌入式后门还是路由器固件中的已知安全漏洞。每台受感染路由器均保持HTTP（端口80）和SSH（端口22）访问权限。”

由于这些受感染的SOHO路由器充当住宅代理节点，它们使威胁行为者能够隐藏在正常网络流量中进行恶意活动。这说明了攻击者正日益利用消费级设备作为多阶段攻击的通道。

Chawkr指出：“与数据中心IP或知名托管服务商的地址不同，这些住宅代理终端在大多数安全厂商信誉名单和威胁情报源的监测范围之外。其合法的住宅网络分类和清白的IP信誉使恶意流量能够伪装成普通消费者活动，规避那些会立即标记可疑托管基础设施或已知代理服务请求的检测机制。”

觉得这篇文章有趣？请关注我们的Google News、Twitter和LinkedIn账号，阅读我们发布的更多独家内容。

我们在2026年的首篇报道揭示了名为Kimwolf的新型破坏性僵尸网络如何通过大规模入侵大量非官方Android TV流媒体盒，感染了超过两百万台设备。今天，我们将深入挖掘黑客、网络运营商及服务方留下的数字线索，这些实体似乎从Kimwolf的传播中获益。

2025年12月17日，中国安全公司XLab发布了一份关于Kimwolf的深度分析报告。该僵尸网络强制受感染设备参与分布式拒绝服务（DDoS）攻击，并为所谓的“住宅代理”服务转发滥用和恶意的互联网流量。

将用户设备转变为住宅代理的软件通常被悄无声息地捆绑在移动应用和游戏中。Kimwolf专门针对出厂预装在超过一千种不同型号的非授权Android TV流媒体设备上的住宅代理软件。很快，这些住宅代理的互联网地址便开始输送与广告欺诈、账户接管尝试和大规模内容抓取相关的流量。

XLab的报告解释称，其研究人员发现了“确凿证据”，表明相同的网络犯罪分子和基础设施被用于部署Kimwolf和Aisuru僵尸网络——后者是Kimwolf的早期版本，同样劫持设备用于DDoS攻击和代理服务。

XLab表示，自10月起就怀疑Kimwolf和Aisuru由相同的作者和运营者操控，部分依据是两者随时间推移共享的代码变更。但该机构称，这些怀疑在12月8日得到证实，当时他们观察到两个僵尸网络变种均通过同一互联网地址93.95.112[.]59进行分发。

图片：XLab。

RESI RACK

公开记录显示，XLab标记的互联网地址范围被分配给了位于犹他州李海的Resi Rack LLC公司。Resi Rack的网站自称是“高级游戏服务器托管提供商”。同时，该公司在互联网赚钱论坛BlackHatWorld上的广告则称其为“高级住宅代理托管及代理软件解决方案公司”。

Resi Rack联合创始人Cassidy Hales告诉KrebsOnSecurity，他的公司在12月10日收到了关于Kimwolf使用其网络的通知，“其中详细说明了我们一位租用服务器的客户所进行的操作”。

“收到这封邮件后，我们立即处理了这个问题，”Hales在回复评论请求的电子邮件中写道。“我们非常失望此事现在与我们的名字关联，这完全不是我们公司的本意。”

XLab在12月8日引用的Resi Rack互联网地址，其实在那之前两周多就已进入KrebsOnSecurity的视野。Benjamin Brundage是追踪代理服务的初创公司Synthient的创始人。2025年10月下旬，Brundage分享道，那些销售各种从Aisuru和Kimwolf僵尸网络中获益的代理服务的人，正在一个名为resi[.]to的新Discord服务器上进行交易。

2025年11月24日，resi-dot-to Discord频道的一名成员分享了一个负责通过感染了Kimwolf僵尸网络的Android TV流媒体盒代理流量的IP地址。

当KrebsOnSecurity在10月下旬作为沉默观察者加入resi[.]to Discord频道时，该服务器成员不足150人，其中包括Resi Rack联合创始人Hales先生使用的昵称“Shox”，以及其未回应评论请求的商业伙伴“Linus”。

resi[.]to Discord频道的其他成员会定期发布负责通过Kimwolf僵尸网络代理流量的新IP地址。如上方的resi[.]to截图所示，XLab标记的那个Resi Rack互联网地址早在11月24日（如果不是更早）就被Kimwolf用于引导代理流量。Synthient表示，总计在2025年10月至12月期间，他们追踪到至少七个与Kimwolf代理基础设施相关的静态Resi Rack IP地址。

Resi Rack的两位共同所有者均未回应后续问题。两人近两年来一直活跃于通过Discord销售代理服务。根据对网络情报公司Flashpoint索引的Discord消息的审查，Shox和Linus在2024年大部分时间里，通过路由美国主要互联网服务提供商的各种互联网地址块来销售静态“ISP代理”。

2025年2月，AT&T宣布自2025年7月31日起，将不再为非AT&T拥有和管理的网络块发起路由（其他主要ISP此后也采取了类似举措）。不到一个月后，Shox和Linus告知客户，由于这些政策变化，他们将很快停止提供静态ISP代理。

Shox和Linux，谈论他们停止销售ISP代理的决定。

DORT & SNOW

resi[.]to Discord服务器的声明所有者使用缩写用户名“D”。这个首字母似乎是黑客代号“Dort”的简称，该名字在这些Discord聊天中频繁出现。

Dort在resi dot to上的个人资料。

这个“Dort”昵称出现在KrebsOnSecurity最近与“Forky”的对话中。Forky是一名巴西男子，他承认在2024年底Aisuru僵尸网络创立初期参与了其营销活动。但他坚决否认与2025年下半年归咎于Aisuru的一系列破纪录的大规模DDoS攻击有任何关联，称当时该僵尸网络已被竞争对手接管。

Forky断言，Dort是加拿大居民，并且是当前控制Aisuru/Kimwolf僵尸网络的至少两人之一。Forky指名的另一位Aisuru/Kimwolf僵尸网络操控者使用的昵称是“Snow”。

1月2日——就在我们关于Kimwolf的报道发布几小时后——resi[.]to上的历史聊天记录在毫无预警的情况下被清除，取而代之的是一条针对Synthient创始人的充满脏话的信息。几分钟后，整个服务器消失了。