我们2026年的首个报道揭示了名为Kimwolf的新型破坏性僵尸网络如何通过大规模入侵大量非官方Android TV流媒体盒子，感染了超过两百万台设备。今天，我们将深入挖掘黑客、网络运营商及服务方留下的数字线索，这些实体似乎都从Kimwolf的传播中获益。

2025年12月17日，中国安全公司XLab发布了一份关于Kimwolf的深度分析报告。该僵尸网络会强制受感染设备参与分布式拒绝服务（DDoS）攻击，并为所谓的“住宅代理”服务转发滥用性和恶意的互联网流量。

将用户设备转变为住宅代理的软件通常被悄无声息地捆绑在移动应用和游戏中。Kimwolf专门针对出厂预装在超过一千种不同型号的非授权Android TV流媒体设备上的住宅代理软件。很快，这些住宅代理的互联网地址就开始输送与广告欺诈、账户接管尝试和大规模内容抓取相关的流量。

XLab的报告解释称，其研究人员发现了“确凿证据”，证明相同的网络犯罪分子和基础设施被用于部署Kimwolf和Aisuru僵尸网络——后者是Kimwolf的早期版本，同样劫持设备用于DDoS攻击和代理服务。

XLab表示，自10月起就怀疑Kimwolf和Aisuru的作者和运营者是同一批人，部分依据是两者随时间推移共享的代码变更。但该公司称，这些怀疑在12月8日得到证实，当时他们观察到两个僵尸网络变种均通过同一互联网地址93.95.112[.]59进行分发。

图片：XLab。

RESI RACK

公开记录显示，XLab标记的互联网地址范围被分配给了位于犹他州李海的Resi Rack LLC公司。Resi Rack的网站自称是“高级游戏服务器托管提供商”。同时，Resi Rack在互联网赚钱论坛BlackHatWorld上的广告则称其为“高级住宅代理托管及代理软件解决方案公司”。

Resi Rack联合创始人Cassidy Hales告诉KrebsOnSecurity，他的公司在12月10日收到了关于Kimwolf使用其网络的通知，“其中详细说明了我们一位租用服务器的客户所做的事情。”

“当我们收到这封邮件时，我们立即处理了这个问题，”Hales在回复评论请求的邮件中写道。“我们非常失望此事现在与我们的名字关联在一起，这完全不是我们公司的本意。”

XLab在12月8日引用的Resi Rack互联网地址，在那之前两周多就已进入KrebsOnSecurity的视野。Benjamin Brundage是追踪代理服务的初创公司Synthient的创始人。2025年10月下旬，Brundage分享说，那些销售各种从Aisuru和Kimwolf僵尸网络中获益的代理服务的人，正在一个名为resi[.]to的新Discord服务器上进行此类活动。

2025年11月24日，resi-dot-to Discord频道的一名成员分享了一个负责通过感染了Kimwolf僵尸网络的Android TV流媒体盒子代理流量的IP地址。

当KrebsOnSecurity在10月下旬作为沉默潜伏者加入resi[.]to Discord频道时，该服务器成员不足150人，其中包括“Shox”——Resi Rack联合创始人Hales先生使用的昵称——以及他的商业伙伴“Linus”，后者未回应置评请求。

resi[.]to Discord频道的其他成员会定期发布负责通过Kimwolf僵尸网络代理流量的新IP地址。如上方的resi[.]to截图所示，XLab标记的那个Resi Rack互联网地址早在11月24日（如果不是更早）就被Kimwolf用于引导代理流量。总而言之，Synthient表示，它在2025年10月至12月期间追踪到至少七个与Kimwolf代理基础设施相关的静态Resi Rack IP地址。

Resi Rack的两位共同所有者均未回应后续问题。两人近两年来一直活跃于通过Discord销售代理服务。根据对网络情报公司Flashpoint索引的Discord消息的审查，Shox和Linus在2024年大部分时间里，通过路由美国主要互联网服务提供商的各种互联网地址块来销售静态“ISP代理”。

2025年2月，AT&T宣布自2025年7月31日起，将不再为非AT&T拥有和管理的网络块发起路由（其他主要ISP此后也采取了类似举措）。不到一个月后，Shox和Linus就告知客户，由于这些政策变化，他们将很快停止提供静态ISP代理。

Shox和Linux，谈论他们停止销售ISP代理的决定。

DORT & SNOW

resi[.]to Discord服务器的声明所有者使用缩写用户名“D”。这个首字母似乎是黑客代号“Dort”的简称，该名字在这些Discord聊天中频繁出现。

Dort在resi dot to上的个人资料。

这个“Dort”昵称出现在KrebsOnSecurity最近与“Forky”的对话中。Forky是一名巴西男子，他承认在2024年底Aisuru僵尸网络创立初期参与了其营销活动。但他坚决否认与2025年下半年归咎于Aisuru的一系列破纪录的大规模DDoS攻击有任何关系，称僵尸网络在那时已被竞争对手接管。

Forky断言，Dort是加拿大居民，并且是当前控制Aisuru/Kimwolf僵尸网络的至少两人之一。Forky指名的另一位Aisuru/Kimwolf僵尸网络控制者使用的昵称是“Snow”。

1月2日——就在我们关于Kimwolf的报道发布几小时后——resi[.]to上的历史聊天记录被毫无预警地清除，并替换为一条针对Synthient创始人的充满脏话的信息。几分钟后，整个服务器消失了。

我们在2026年的首篇报道揭示了名为Kimwolf的新型破坏性僵尸网络如何通过大规模入侵大量非官方Android TV流媒体盒，感染了超过两百万台设备。今天，我们将深入挖掘黑客、网络运营商及服务方留下的数字线索，这些实体似乎从Kimwolf的传播中获益。

2025年12月17日，中国安全公司XLab发布了一份关于Kimwolf的深度分析报告。该僵尸网络强制受感染设备参与分布式拒绝服务（DDoS）攻击，并为所谓的“住宅代理”服务转发滥用和恶意的互联网流量。

将用户设备转变为住宅代理的软件通常被悄无声息地捆绑在移动应用和游戏中。Kimwolf专门针对出厂预装在超过一千种不同型号的非授权Android TV流媒体设备上的住宅代理软件。很快，这些住宅代理的互联网地址便开始输送与广告欺诈、账户接管尝试和大规模内容抓取相关的流量。

XLab的报告解释称，其研究人员发现了“确凿证据”，表明相同的网络犯罪分子和基础设施被用于部署Kimwolf和Aisuru僵尸网络——后者是Kimwolf的早期版本，同样劫持设备用于DDoS攻击和代理服务。

XLab表示，自10月起就怀疑Kimwolf和Aisuru由相同的作者和运营者操控，部分依据是两者随时间推移共享的代码变更。但该机构称，这些怀疑在12月8日得到证实，当时他们观察到两个僵尸网络变种均通过同一互联网地址93.95.112[.]59进行分发。

图片：XLab。

RESI RACK

公开记录显示，XLab标记的互联网地址范围被分配给了位于犹他州李海的Resi Rack LLC公司。Resi Rack的网站自称是“高级游戏服务器托管提供商”。同时，该公司在互联网赚钱论坛BlackHatWorld上的广告则称其为“高级住宅代理托管及代理软件解决方案公司”。

Resi Rack联合创始人Cassidy Hales告诉KrebsOnSecurity，他的公司在12月10日收到了关于Kimwolf使用其网络的通知，“其中详细说明了我们一位租用服务器的客户所进行的操作”。

“收到这封邮件后，我们立即处理了这个问题，”Hales在回复评论请求的电子邮件中写道。“我们非常失望此事现在与我们的名字关联，这完全不是我们公司的本意。”

XLab在12月8日引用的Resi Rack互联网地址，其实在那之前两周多就已进入KrebsOnSecurity的视野。Benjamin Brundage是追踪代理服务的初创公司Synthient的创始人。2025年10月下旬，Brundage分享道，那些销售各种从Aisuru和Kimwolf僵尸网络中获益的代理服务的人，正在一个名为resi[.]to的新Discord服务器上进行交易。

2025年11月24日，resi-dot-to Discord频道的一名成员分享了一个负责通过感染了Kimwolf僵尸网络的Android TV流媒体盒代理流量的IP地址。

当KrebsOnSecurity在10月下旬作为沉默观察者加入resi[.]to Discord频道时，该服务器成员不足150人，其中包括Resi Rack联合创始人Hales先生使用的昵称“Shox”，以及其未回应评论请求的商业伙伴“Linus”。

resi[.]to Discord频道的其他成员会定期发布负责通过Kimwolf僵尸网络代理流量的新IP地址。如上方的resi[.]to截图所示，XLab标记的那个Resi Rack互联网地址早在11月24日（如果不是更早）就被Kimwolf用于引导代理流量。Synthient表示，总计在2025年10月至12月期间，他们追踪到至少七个与Kimwolf代理基础设施相关的静态Resi Rack IP地址。

Resi Rack的两位共同所有者均未回应后续问题。两人近两年来一直活跃于通过Discord销售代理服务。根据对网络情报公司Flashpoint索引的Discord消息的审查，Shox和Linus在2024年大部分时间里，通过路由美国主要互联网服务提供商的各种互联网地址块来销售静态“ISP代理”。

2025年2月，AT&T宣布自2025年7月31日起，将不再为非AT&T拥有和管理的网络块发起路由（其他主要ISP此后也采取了类似举措）。不到一个月后，Shox和Linus告知客户，由于这些政策变化，他们将很快停止提供静态ISP代理。

Shox和Linux，谈论他们停止销售ISP代理的决定。

DORT & SNOW

resi[.]to Discord服务器的声明所有者使用缩写用户名“D”。这个首字母似乎是黑客代号“Dort”的简称，该名字在这些Discord聊天中频繁出现。

Dort在resi dot to上的个人资料。

这个“Dort”昵称出现在KrebsOnSecurity最近与“Forky”的对话中。Forky是一名巴西男子，他承认在2024年底Aisuru僵尸网络创立初期参与了其营销活动。但他坚决否认与2025年下半年归咎于Aisuru的一系列破纪录的大规模DDoS攻击有任何关联，称当时该僵尸网络已被竞争对手接管。

Forky断言，Dort是加拿大居民，并且是当前控制Aisuru/Kimwolf僵尸网络的至少两人之一。Forky指名的另一位Aisuru/Kimwolf僵尸网络操控者使用的昵称是“Snow”。

1月2日——就在我们关于Kimwolf的报道发布几小时后——resi[.]to上的历史聊天记录在毫无预警的情况下被清除，取而代之的是一条针对Synthient创始人的充满脏话的信息。几分钟后，整个服务器消失了。