您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经过时，并带来了危险。

安全公司Synthient目前观察到全球有超过200万台设备感染了Kimwolf，主要集中在越南、巴西、印度、沙特阿拉伯、俄罗斯和美国。Synthient发现，其中三分之二的Kimwolf感染设备是内置无安全或身份验证功能的Android电视盒。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回传，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒安装，这些电视盒由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒构成了目前估计感染Kimwolf的200万个系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非授权Android电视盒带来的第二大安全噩梦是，它们依赖于少数几款联网微电脑板，而这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令，同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围中的设置匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全通告中写道。“这使得攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”