KrebsOnSecurity.com 于今日迎来十六周年纪念！衷心感谢所有读者——无论是新朋友、老读者，还是匆匆路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴郁的日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚收效甚微，未能阻止Stark的所有者改头换面，并将大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity报道了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦特工表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入窥探了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、令人信服且造成巨大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后至少提起了两起针对这些团体和数十名未具名被告的无名氏诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在俄罗斯最大的私立教育公司——协同大学——所在的同一网络托管的网站上做广告。

一如既往，KrebsOnSecurity努力密切关注全球最大、最具破坏性的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能成为谷歌优秀Project Shield服务的用户）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底首次出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

您正在阅读的报道是一系列独家新闻，它们嵌套在一份更为紧迫的全球互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已严重过时。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无任何安全或认证机制的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络呈现爆炸式增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会强制受控系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与具有破坏性的分布式拒绝服务（DDoS）攻击，此类攻击足以让几乎任何网站一次性瘫痪数天。

然而，比Kimwolf的惊人规模更重要的是其快速传播所采用的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些本应受用户防火墙和互联网路由器保护的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务商允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户互联网连接变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商平台销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐性成本：我们稍后将探讨，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二大安全噩梦在于，它们依赖于少数几款联网微电脑主板，而这些主板没有内置明显的安全或认证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速壮大。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，Kimwolf的运营者已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围内的地址匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全公告中写道。“这使得攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

我们2026年的首个报道揭示了名为Kimwolf的新型破坏性僵尸网络如何通过大规模入侵大量非官方Android TV流媒体盒子，感染了超过两百万台设备。今天，我们将深入挖掘黑客、网络运营商及服务方留下的数字线索，这些实体似乎都从Kimwolf的传播中获益。

2025年12月17日，中国安全公司XLab发布了一份关于Kimwolf的深度分析报告。该僵尸网络会强制受感染设备参与分布式拒绝服务（DDoS）攻击，并为所谓的“住宅代理”服务转发滥用性和恶意的互联网流量。

将用户设备转变为住宅代理的软件通常被悄无声息地捆绑在移动应用和游戏中。Kimwolf专门针对出厂预装在超过一千种不同型号的非授权Android TV流媒体设备上的住宅代理软件。很快，这些住宅代理的互联网地址就开始输送与广告欺诈、账户接管尝试和大规模内容抓取相关的流量。

XLab的报告解释称，其研究人员发现了“确凿证据”，证明相同的网络犯罪分子和基础设施被用于部署Kimwolf和Aisuru僵尸网络——后者是Kimwolf的早期版本，同样劫持设备用于DDoS攻击和代理服务。

XLab表示，自10月起就怀疑Kimwolf和Aisuru的作者和运营者是同一批人，部分依据是两者随时间推移共享的代码变更。但该公司称，这些怀疑在12月8日得到证实，当时他们观察到两个僵尸网络变种均通过同一互联网地址93.95.112[.]59进行分发。

图片：XLab。

RESI RACK

公开记录显示，XLab标记的互联网地址范围被分配给了位于犹他州李海的Resi Rack LLC公司。Resi Rack的网站自称是“高级游戏服务器托管提供商”。同时，Resi Rack在互联网赚钱论坛BlackHatWorld上的广告则称其为“高级住宅代理托管及代理软件解决方案公司”。

Resi Rack联合创始人Cassidy Hales告诉KrebsOnSecurity，他的公司在12月10日收到了关于Kimwolf使用其网络的通知，“其中详细说明了我们一位租用服务器的客户所做的事情。”

“当我们收到这封邮件时，我们立即处理了这个问题，”Hales在回复评论请求的邮件中写道。“我们非常失望此事现在与我们的名字关联在一起，这完全不是我们公司的本意。”

XLab在12月8日引用的Resi Rack互联网地址，在那之前两周多就已进入KrebsOnSecurity的视野。Benjamin Brundage是追踪代理服务的初创公司Synthient的创始人。2025年10月下旬，Brundage分享说，那些销售各种从Aisuru和Kimwolf僵尸网络中获益的代理服务的人，正在一个名为resi[.]to的新Discord服务器上进行此类活动。

2025年11月24日，resi-dot-to Discord频道的一名成员分享了一个负责通过感染了Kimwolf僵尸网络的Android TV流媒体盒子代理流量的IP地址。

当KrebsOnSecurity在10月下旬作为沉默潜伏者加入resi[.]to Discord频道时，该服务器成员不足150人，其中包括“Shox”——Resi Rack联合创始人Hales先生使用的昵称——以及他的商业伙伴“Linus”，后者未回应置评请求。

resi[.]to Discord频道的其他成员会定期发布负责通过Kimwolf僵尸网络代理流量的新IP地址。如上方的resi[.]to截图所示，XLab标记的那个Resi Rack互联网地址早在11月24日（如果不是更早）就被Kimwolf用于引导代理流量。总而言之，Synthient表示，它在2025年10月至12月期间追踪到至少七个与Kimwolf代理基础设施相关的静态Resi Rack IP地址。

Resi Rack的两位共同所有者均未回应后续问题。两人近两年来一直活跃于通过Discord销售代理服务。根据对网络情报公司Flashpoint索引的Discord消息的审查，Shox和Linus在2024年大部分时间里，通过路由美国主要互联网服务提供商的各种互联网地址块来销售静态“ISP代理”。

2025年2月，AT&T宣布自2025年7月31日起，将不再为非AT&T拥有和管理的网络块发起路由（其他主要ISP此后也采取了类似举措）。不到一个月后，Shox和Linus就告知客户，由于这些政策变化，他们将很快停止提供静态ISP代理。

Shox和Linux，谈论他们停止销售ISP代理的决定。

DORT & SNOW

resi[.]to Discord服务器的声明所有者使用缩写用户名“D”。这个首字母似乎是黑客代号“Dort”的简称，该名字在这些Discord聊天中频繁出现。

Dort在resi dot to上的个人资料。

这个“Dort”昵称出现在KrebsOnSecurity最近与“Forky”的对话中。Forky是一名巴西男子，他承认在2024年底Aisuru僵尸网络创立初期参与了其营销活动。但他坚决否认与2025年下半年归咎于Aisuru的一系列破纪录的大规模DDoS攻击有任何关系，称僵尸网络在那时已被竞争对手接管。

Forky断言，Dort是加拿大居民，并且是当前控制Aisuru/Kimwolf僵尸网络的至少两人之一。Forky指名的另一位Aisuru/Kimwolf僵尸网络控制者使用的昵称是“Snow”。

1月2日——就在我们关于Kimwolf的报道发布几小时后——resi[.]to上的历史聊天记录被毫无预警地清除，并替换为一条针对Synthient创始人的充满脏话的信息。几分钟后，整个服务器消失了。

Lumen Technologies的Black Lotus Labs团队表示，自2025年10月初以来，已对超过550个与AISURU/Kimwolf僵尸网络相关的命令与控制（C2）节点实施了流量空路由封锁。

AISURU及其Android版本Kimwolf已成为近期规模最大的僵尸网络之一，能够操控受控设备参与分布式拒绝服务（DDoS）攻击，并为住宅代理服务中转恶意流量。

关于Kimwolf的详细信息于上月浮出水面，奇安信XLab发布了对该恶意软件的全面分析。该软件通过直接或通过预装在设备上的可疑应用，向受感染设备（主要是未经授权的Android电视流媒体设备）推送名为ByteConnect的软件开发工具包（SDK），将其转变为住宅代理节点。

最终结果是，该僵尸网络通过住宅代理网络隧道渗透，感染了超过200万台暴露Android调试桥（ADB）服务的Android设备，使威胁行为者能够大规模入侵电视盒子。

Synthient的后续报告披露，Kimwolf的操作者试图出售代理带宽以换取预付现金。

Black Lotus Labs称，其于2025年9月通过分析位于65.108.5[.]46的Aisuru后端C2服务器，识别出一组源自多个加拿大IP地址的住宅SSH连接。这些IP地址通过SSH访问194.46.59[.]169，即proxy-sdk.14emeliaterracewestroxburyma02132[.]su。

值得注意的是，该二级域名在2025年11月Cloudflare的全球前100域名榜单中排名超越Google，促使这家网络基础设施公司将其从榜单中移除。

随后在2025年10月初，这家网络安全公司表示发现了另一个C2域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su，其解析至104.171.170[.]21。该IP地址属于犹他州托管服务商Resi Rack LLC，该公司自称是“高级游戏服务器托管提供商”。

这一关联至关重要，因为独立安全记者Brian Krebs最近的报告揭示了基于此类僵尸网络的各类代理服务运营者如何在名为resi[.]to的Discord服务器上兜售其盗版资源。这包括Resi Rack的联合创始人，据称他们近两年来一直通过Discord积极销售代理服务。

该服务器现已消失，其所有者名为“d”（推测为昵称“Dort”的缩写），而Snow被认为是僵尸网络主控者。

Black Lotus Labs指出：“10月初，我们观察到Kimwolf在7天内新增僵尸设备数量激增300%，这波增长使僵尸网络总数在月中达到80万台。此次激增中几乎所有的僵尸设备都被列在单一住宅代理服务上出售。”

随后发现，Kimwolf的C2架构在2025年10月20日至11月6日期间扫描PYPROXY等服务以寻找脆弱设备。这一行为源于僵尸网络利用了许多代理服务的安全漏洞，使其能够与住宅代理端点内网中的设备交互并植入恶意软件。

这进而将设备转变为住宅代理节点，导致其互联网服务提供商分配的公网IP地址被列入住宅代理供应商网站出租。威胁行为者（例如这些僵尸网络的幕后黑手）随后租用受感染节点的访问权限，并将其武器化以扫描本地网络，寻找启用ADB模式的设备进行进一步传播。

Black Lotus Labs强调：“在2025年10月成功实施一次空路由封锁后，我们观察到greatfirewallisacensorshiptool域名迁移至104.171.170[.]201（另一个Resi Rack LLC的IP）。随着该服务器上线，我们监测到流向176.65.149[.]19:25565（用于托管其恶意软件的服务器）的流量激增。该服务器所在的自治系统编号与Aisuru僵尸网络当时使用的相同。”

此次披露的背景是，Chawkr报告详细描述了一个包含832台受感染KeeneticOS路由器的复杂代理网络，这些路由器分布在Net By Net Holding LLC、VladLink和GorodSamara等俄罗斯互联网服务提供商中。

报告指出：“所有832台设备一致的SSH指纹和相同配置表明这是自动化大规模攻击的结果，无论是利用窃取的凭证、嵌入式后门还是路由器固件中的已知安全漏洞。每台受感染路由器均保持HTTP（端口80）和SSH（端口22）访问权限。”

由于这些受感染的SOHO路由器充当住宅代理节点，它们使威胁行为者能够隐藏在正常网络流量中进行恶意活动。这说明了攻击者正日益利用消费级设备作为多阶段攻击的通道。

Chawkr指出：“与数据中心IP或知名托管服务商的地址不同，这些住宅代理终端在大多数安全厂商信誉名单和威胁情报源的监测范围之外。其合法的住宅网络分类和清白的IP信誉使恶意流量能够伪装成普通消费者活动，规避那些会立即标记可疑托管基础设施或已知代理服务请求的检测机制。”

觉得这篇文章有趣？请关注我们的Google News、Twitter和LinkedIn账号，阅读我们发布的更多独家内容。

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全或身份验证机制的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎所有网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几款联网微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令，同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切追踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址（包括众所周知的网络地址转换（NAT）范围10.0.0.0/8、192.168.0.0/16和172.16.0.0/12）的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公室网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，只需将其域名系统（DNS）设置更改为与RFC-1918地址范围相匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全公告中写道。“这使攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

我们在2026年的首篇报道揭示了名为Kimwolf的新型破坏性僵尸网络如何通过大规模入侵大量非官方Android TV流媒体盒，感染了超过两百万台设备。今天，我们将深入挖掘黑客、网络运营商及服务方留下的数字线索，这些实体似乎从Kimwolf的传播中获益。

2025年12月17日，中国安全公司XLab发布了一份关于Kimwolf的深度分析报告。该僵尸网络强制受感染设备参与分布式拒绝服务（DDoS）攻击，并为所谓的“住宅代理”服务转发滥用和恶意的互联网流量。

将用户设备转变为住宅代理的软件通常被悄无声息地捆绑在移动应用和游戏中。Kimwolf专门针对出厂预装在超过一千种不同型号的非授权Android TV流媒体设备上的住宅代理软件。很快，这些住宅代理的互联网地址便开始输送与广告欺诈、账户接管尝试和大规模内容抓取相关的流量。

XLab的报告解释称，其研究人员发现了“确凿证据”，表明相同的网络犯罪分子和基础设施被用于部署Kimwolf和Aisuru僵尸网络——后者是Kimwolf的早期版本，同样劫持设备用于DDoS攻击和代理服务。

XLab表示，自10月起就怀疑Kimwolf和Aisuru由相同的作者和运营者操控，部分依据是两者随时间推移共享的代码变更。但该机构称，这些怀疑在12月8日得到证实，当时他们观察到两个僵尸网络变种均通过同一互联网地址93.95.112[.]59进行分发。

图片：XLab。

RESI RACK

公开记录显示，XLab标记的互联网地址范围被分配给了位于犹他州李海的Resi Rack LLC公司。Resi Rack的网站自称是“高级游戏服务器托管提供商”。同时，该公司在互联网赚钱论坛BlackHatWorld上的广告则称其为“高级住宅代理托管及代理软件解决方案公司”。

Resi Rack联合创始人Cassidy Hales告诉KrebsOnSecurity，他的公司在12月10日收到了关于Kimwolf使用其网络的通知，“其中详细说明了我们一位租用服务器的客户所进行的操作”。

“收到这封邮件后，我们立即处理了这个问题，”Hales在回复评论请求的电子邮件中写道。“我们非常失望此事现在与我们的名字关联，这完全不是我们公司的本意。”

XLab在12月8日引用的Resi Rack互联网地址，其实在那之前两周多就已进入KrebsOnSecurity的视野。Benjamin Brundage是追踪代理服务的初创公司Synthient的创始人。2025年10月下旬，Brundage分享道，那些销售各种从Aisuru和Kimwolf僵尸网络中获益的代理服务的人，正在一个名为resi[.]to的新Discord服务器上进行交易。

2025年11月24日，resi-dot-to Discord频道的一名成员分享了一个负责通过感染了Kimwolf僵尸网络的Android TV流媒体盒代理流量的IP地址。

当KrebsOnSecurity在10月下旬作为沉默观察者加入resi[.]to Discord频道时，该服务器成员不足150人，其中包括Resi Rack联合创始人Hales先生使用的昵称“Shox”，以及其未回应评论请求的商业伙伴“Linus”。

resi[.]to Discord频道的其他成员会定期发布负责通过Kimwolf僵尸网络代理流量的新IP地址。如上方的resi[.]to截图所示，XLab标记的那个Resi Rack互联网地址早在11月24日（如果不是更早）就被Kimwolf用于引导代理流量。Synthient表示，总计在2025年10月至12月期间，他们追踪到至少七个与Kimwolf代理基础设施相关的静态Resi Rack IP地址。

Resi Rack的两位共同所有者均未回应后续问题。两人近两年来一直活跃于通过Discord销售代理服务。根据对网络情报公司Flashpoint索引的Discord消息的审查，Shox和Linus在2024年大部分时间里，通过路由美国主要互联网服务提供商的各种互联网地址块来销售静态“ISP代理”。

2025年2月，AT&T宣布自2025年7月31日起，将不再为非AT&T拥有和管理的网络块发起路由（其他主要ISP此后也采取了类似举措）。不到一个月后，Shox和Linus告知客户，由于这些政策变化，他们将很快停止提供静态ISP代理。

Shox和Linux，谈论他们停止销售ISP代理的决定。

DORT & SNOW

resi[.]to Discord服务器的声明所有者使用缩写用户名“D”。这个首字母似乎是黑客代号“Dort”的简称，该名字在这些Discord聊天中频繁出现。

Dort在resi dot to上的个人资料。

这个“Dort”昵称出现在KrebsOnSecurity最近与“Forky”的对话中。Forky是一名巴西男子，他承认在2024年底Aisuru僵尸网络创立初期参与了其营销活动。但他坚决否认与2025年下半年归咎于Aisuru的一系列破纪录的大规模DDoS攻击有任何关联，称当时该僵尸网络已被竞争对手接管。

Forky断言，Dort是加拿大居民，并且是当前控制Aisuru/Kimwolf僵尸网络的至少两人之一。Forky指名的另一位Aisuru/Kimwolf僵尸网络操控者使用的昵称是“Snow”。

1月2日——就在我们关于Kimwolf的报道发布几小时后——resi[.]to上的历史聊天记录在毫无预警的情况下被清除，取而代之的是一条针对Synthient创始人的充满脏话的信息。几分钟后，整个服务器消失了。

Kimwolf安卓僵尸网络滥用住宅代理感染内网设备

                        By

02:15 PM

Kimwolf僵尸网络作为Aisuru恶意软件的安卓变种，其感染主机已超过两百万台，其中大多数是通过利用住宅代理网络中的漏洞来感染内部网络设备。

研究人员观察到自去年八月以来该恶意软件活动激增。在过去一个月中，Kimwolf加强了对代理网络的扫描，以寻找暴露Android调试桥（ADB）服务的设备。

常见攻击目标包括允许通过ADB进行未授权访问的安卓电视盒和流媒体设备。受控设备主要用于分布式拒绝服务（DDoS）攻击、代理转售以及通过Plainproxies Byteconnect等第三方SDK实现应用安装变现。

Aisuru僵尸网络目前造成了公开披露的最大规模DDoS攻击，据Cloudflare测量，其峰值流量达
29.7 terabits per second
。

XLab的报告指出
，截至12月4日，Kimwolf安卓僵尸网络已控制超过180万台设备。

威胁情报与反欺诈网络安全公司Synthient的研究人员持续追踪Kimwolf活动。他们表示受控设备数量已攀升至近两百万台，每周产生约1200万个独立IP地址。

受感染的安卓设备主要分布在越南、巴西、印度和沙特阿拉伯。许多案例中，系统在购买前就已通过代理SDK被入侵，这
在过往已有报道
。

Kimwolf感染热力图

来源：Synthient

滥用住宅代理

据Synthient分析，Kimwolf的快速增长主要源于其滥用住宅代理网络接触脆弱安卓设备。具体而言，该恶意软件利用允许访问本地网络地址和端口的代理提供商，直接与代理客户端所在同一内部网络的设备进行交互。

自2025年11月12日起，Synthient监测到针对通过代理端点暴露的未授权ADB服务（目标端口5555、5858、12108和3222）的扫描活动显著增加。

Android调试桥（ADB）是用于开发和调试的接口，支持安装/卸载应用、运行shell命令、传输文件及调试安卓设备。当ADB通过网络暴露时，可能允许未经授权的远程连接以修改或控制安卓设备。

当设备可访问时，僵尸网络会通过
netcat
或
telnet
传送有效载荷，将shell脚本直接注入暴露设备并在本地执行，写入
/data/local/tmp
目录。

Synthient在12月期间捕获了多个有效载荷变种，但传播方式保持不变。

感染流程概览

来源：Synthient

研究人员在某住宅代理池样本中发现高暴露率，凸显出设备加入这些网络后数分钟内即可被攻陷。

"通过分析IPIDEA代理池中暴露的设备，我们发现67%的安卓设备处于未授权状态，易受远程代码执行攻击，"
Synthient解释道
。

"扫描显示约存在600万个脆弱IP[...]这些设备在出厂时往往已预装代理提供商的SDK。"研究人员指出。

受影响代理提供商IPIDEA（因开放所有端口访问而成为Kimwolf主要目标）于12月28日响应Synthient警报，已阻断对本地网络及大量端口的访问。

研究人员总计向Kimwolf活动中发现的"顶级代理提供商"发送了近十二份漏洞报告，但尚无法完全确定该恶意软件针对的所有代理提供商。

防护建议

Synthient发布了
在线扫描工具
，帮助用户检测网络设备是否感染Kimwolf僵尸网络。

若检测结果为阳性，研究人员建议受感染的电视盒应"彻底清除或销毁"，否则僵尸网络将持续存在。

通用建议是避免使用
低价
通用
安卓电视盒
，优先选择信誉良好的原始设备制造商生产的"Google Play Protect认证"设备，例如Google Chromecast、NVIDIA Shield TV和小米电视盒。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，2025年我们的报道贯穿了一个强烈的主题——"恶有恶报"，重点关注那些为复杂且全球分布的网络犯罪服务提供便利的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity剖析了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对其处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起高达1.5亿美元加密货币盗窃案的美国联邦探员表示，他们也得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

今年一月，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多个美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月，巴基斯坦逮捕了21名据称为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次对其进行了剖析。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机广告出现在一个网站上，该网站与俄罗斯最大的私立教育公司——协同大学——托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能受惠于谷歌卓越的Project Shield服务）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击规模的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经过时，并带来了危险。

安全公司Synthient目前观察到全球有超过200万台设备感染了Kimwolf，主要集中在越南、巴西、印度、沙特阿拉伯、俄罗斯和美国。Synthient发现，其中三分之二的Kimwolf感染设备是内置无安全或身份验证功能的Android电视盒。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回传，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒安装，这些电视盒由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这场交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒构成了目前估计感染Kimwolf的200万个系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非授权Android电视盒带来的第二大安全噩梦是，它们依赖于少数几款联网微电脑板，而这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令，同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围中的设置匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份安全通告中写道。“这使得攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能来投放恶意软件。”

您正在阅读的报道是一系列独家新闻，它们嵌套在一份更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经过时，并带来了危险。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件会迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站连续数天瘫痪的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf的惊人规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些电视盒子由第三方商家在诸如Amazon、BestBuy、Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这项交易存在隐性成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非官方Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站上也大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几款联网微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发送一条命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru僵尸网络的一个新的基于Android的变种。Aisuru在去年秋天曾被错误地指责为多起破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务未能充分阻止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址（包括众所周知的网络地址转换（NAT）范围10.0.0.0/8、192.168.0.0/16和172.16.0.0/12）的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公室网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，只需将其域名系统（DNS）设置更改为与RFC-1918地址范围相匹配即可。

“通过使用指向192.168.0.1或0.0.0.0的DNS记录，可以绕过现有的域名限制，”Brundage在2025年12月中旬发送给近十二家住宅代理提供商的首份此类安全通告中写道。“这使攻击者能够向当前设备或本地网络上的设备发送精心构造的请求。这正被积极利用，攻击者利用此功能投放恶意软件。”

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全公告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前监测到全球有超过200万台设备感染了Kimwolf，其中主要集中在越南、巴西、印度、沙特阿拉伯、俄罗斯和美国。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站一次性瘫痪数天的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf惊人的规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回传，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户将其网络流量匿名化并定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些电视盒子由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为免费流式传输某些类型订阅视频内容的一种方式。但这项交易存在隐藏成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站同样大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子存在两大安全问题。首先是其中相当大一部分预装了恶意软件，或者要求用户下载非官方的Android应用商店和恶意软件，才能将设备用于其宣称的目的（视频内容盗版）。这些不速之客中最典型的是将设备转变为住宅代理节点的小程序，这些节点被转售给他人。

这些数码相框和非授权Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几种联网的微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发出单个命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是22岁的安全公司Synthient的创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru的一个新的基于Android的变种。Aisuru是一个僵尸网络，去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务没有采取足够措施来防止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网。如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置，使其与RFC-1918地址范围中的设置匹配即可。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"提供商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚措施几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity 报道了Cryptomus，这家在加拿大注册的金融公司成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity 发布了研究人员的发现，他们得出结论：一系列针对数十名受害者的六位数网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦探员表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，强制向用户发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商的持续SMS钓鱼或"短信钓鱼"，这些供应商让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，源于2021年本网站的一篇报道，该报道揭示了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的联系，该寡头旗下的俄罗斯大学为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在一个网站上的广告，该网站与俄罗斯最大的私立教育公司——协同大学托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络，这些网络今年以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com 遭受了当时谷歌所缓解过的最大规模DDoS攻击（我们很荣幸受到谷歌卓越的Project Shield服务的保护）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续且有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

您正在阅读的故事是一系列独家报道，它们嵌套在一个更为紧迫的全互联网安全通告之中。所讨论的漏洞已被利用数月之久，现在是时候让更多人意识到这一威胁了。简而言之，您过去对互联网路由器后方内部网络安全性的认知，如今很可能已经危险地过时了。

安全公司Synthient目前观察到全球有超过200万台设备感染了Kimwolf，其中越南、巴西、印度、沙特阿拉伯、俄罗斯和美国是重灾区。Synthient发现，三分之二的Kimwolf感染设备是内置无安全措施或身份验证的Android电视盒子。

过去几个月，一个名为Kimwolf的新型僵尸网络经历了爆炸性增长。专家称其已感染全球超过200万台设备。Kimwolf恶意软件迫使受感染系统转发恶意和滥用的互联网流量——例如广告欺诈、账户接管尝试和大规模内容抓取——并参与足以使几乎任何网站离线数日的毁灭性分布式拒绝服务（DDoS）攻击。

然而，比Kimwolf惊人的规模更重要的是它用来快速传播的邪恶方法：它有效地通过多种“住宅代理”网络隧道回连，进入代理端点的本地网络，并进一步感染那些隐藏在用户防火墙和互联网路由器假定保护之下的设备。

住宅代理网络作为一种服务出售，旨在帮助客户匿名化其网络流量并将其定位到特定区域。其中最大的服务允许客户通过全球几乎任何国家或城市的设备来路由其流量。

将终端用户的互联网连接转变为代理节点的恶意软件，通常与可疑的移动应用和游戏捆绑在一起。这些住宅代理程序也常通过非官方Android电视盒子安装，这些盒子由第三方商家在诸如Amazon、BestBuy, Newegg和Walmart等热门电商网站上销售。

这些电视盒子的价格从40美元到400美元不等，以令人眼花缭乱的无名品牌和型号进行销售，并且经常被宣传为可以免费流式传输某些类型的订阅视频内容。但这项交易存在隐性成本：正如我们稍后将探讨的，这些电视盒子构成了目前估计200万台感染Kimwolf系统中相当大的一部分。

一些预装了住宅代理恶意软件的非授权Android电视盒子。图片来源：Synthient。

Kimwolf也非常擅长感染一系列联网数码相框，这些相框在各大电商网站上也大量存在。2025年11月，Quokka的研究人员发布了一份报告（PDF），详细说明了运行Uhale应用的基于Android的数码相框存在的严重安全问题——包括截至2025年3月亚马逊最畅销的数码相框。

这些数码相框和非官方Android电视盒子存在两大安全问题。首先是其中相当大一部分预装了恶意软件，或者要求用户下载非官方的Android应用商店和恶意软件，才能将设备用于其宣称的目的（视频内容盗版）。这些不速之客中最典型的是将设备转变为住宅代理节点的小程序，这些节点随后被转售给他人。

这些数码相框和非授权Android电视盒子的第二个重大安全噩梦是，它们依赖于少数几种联网的微电脑板，这些板子没有内置明显的安全或身份验证要求。换句话说，如果您与一个或多个此类设备处于同一网络，您很可能可以通过在网络中发出单个命令同时攻陷它们。

没有地方比得上127.0.0.1

这两种安全现实的结合在2025年10月凸显出来，当时罗切斯特理工学院的一名计算机科学本科生开始密切跟踪Kimwolf的增长，并每天与其明显的创建者直接互动。

Benjamin Brundage是安全公司Synthient的22岁创始人，这家初创公司帮助企业检测代理网络并了解这些网络如何被滥用。Brundage在准备期末考试期间进行了大量关于Kimwolf的研究，他在2025年10月下旬告诉KrebsOnSecurity，他怀疑Kimwolf是Aisuru的一个新的基于Android的变种。Aisuru是一个僵尸网络，去年秋天曾被错误地归咎为一系列破纪录DDoS攻击的元凶。

Brundage表示，Kimwolf通过利用全球许多大型住宅代理服务中的一个明显漏洞而迅速增长。他解释说，这个弱点的关键在于，这些代理服务没有采取足够措施来防止其客户将请求转发到单个代理端点的内部服务器。

大多数代理服务会采取基本措施，通过明确拒绝针对RFC-1918中指定的本地地址的请求，来防止其付费客户“向上游”进入代理端点的本地网络。这些地址包括众所周知的网络地址转换（NAT）范围：10.0.0.0/8、192.168.0.0/16和172.16.0.0/12。这些范围允许私有网络中的多个设备使用单个公共IP地址访问互联网，如果您运行任何家庭或办公网络，您的内部地址空间就在一个或多个这些NAT范围内运行。

然而，Brundage发现，操作Kimwolf的人已经找到了如何直接与数百万住宅代理端点的内部网络上的设备通信的方法，他们只需更改其域名系统（DNS）设置以匹配RFC-1918地址范围内的设置即可。