Ảnh minh họa. The Hacker News

Vụ việc được phát hiện từ ngày 24/10/2025, khi một đối tác tin cậy chuyển mẫu mã độc cho nhóm phân tích của XLab. Điều gây chú ý là tên miền điều khiển (C2) của botnet – 14emeliaterracewestroxburyma02132[.]su từng trở thành tên miền được truy cập nhiều nhất thế giới, thậm chí vượt cả Google trong bảng xếp hạng lưu lượng toàn cầu của Cloudflare trong thời gian ngắn, cho thấy quy mô đặc biệt lớn của mạng botnet này.

Botnet Android thế hệ mới, khả năng tấn công DDoS cực mạnh

Kimwolf được biên dịch bằng Android NDK (bộ công cụ cho phép viết mã độc ở mức hệ thống, khó bị phát hiện hơn ứng dụng Android thông thường), tích hợp hàng loạt chức năng nguy hiểm như tấn công từ chối dịch vụ – DDoS (điều khiển nhiều thiết bị cùng lúc làm quá tải máy chủ mục tiêu), chuyển tiếp proxy (biến thiết bị nhiễm mã độc thành “trạm trung gian” che giấu nguồn tấn công), thực thi reverse shell (mở quyền điều khiển ngược để tin tặc ra lệnh từ xa) và quản lý tập tin từ xa (đọc, ghi, tải hoặc xóa dữ liệu trên thiết bị bị nhiễm).

Đáng chú ý, mã độc sử dụng DNS over TLS - DoT (mã hóa truy vấn tên miền nhằm che giấu liên lạc với máy chủ điều khiển), đồng thời áp dụng chữ ký số đường cong elliptic (cơ chế xác thực mật mã mạnh, đảm bảo chỉ lệnh hợp lệ từ tin tặc mới được chấp nhận) để xác thực lệnh từ máy chủ C2 (máy chủ chỉ huy và điều khiển botnet), qua đó ngăn chặn việc chiếm quyền điều khiển trái phép từ bên thứ ba.

Theo XLab, Kimwolf thực chất là phiên bản nâng cấp của một botnet cũ có tên Aisuru, với nhiều đoạn mã, hạ tầng và thậm chí chứng chỉ ký số giống nhau. Việc “lột xác” từ Aisuru sang Kimwolf cho thấy tin tặc đang chủ động nâng cao khả năng ẩn mình và chống lại các nỗ lực triệt phá.

Ẩn nấp tinh vi, tận dụng cả blockchain để tránh truy tìm, triệt phá

Các mẫu Kimwolf phổ biến hiện nay thuộc phiên bản v4 và v5, sử dụng kỹ thuật mã hóa Stack-XOR đơn giản để che giấu dữ liệu nhạy cảm như tên miền C2 và địa chỉ máy chủ phân giải DNS. Khi hoạt động, mã độc ngụy trang tiến trình dưới những tên mang dáng dấp hệ thống như netd_services hoặc tv_helper nhằm tránh bị người dùng và phần mềm bảo mật phát hiện.

Quy trình điều khiển của Kimwolf bao gồm truy vấn hệ thống phân giải tên miền DNS công cộng qua cổng 853 (DoT), giải mã bằng thuật toán XOR để lấy địa chỉ C2 thực, sau đó thiết lập kết nối mã hóa để ra lệnh tấn công.

Sau khi nhiều máy chủ C2 bị đánh sập, các đối tượng đứng sau Kimwolf tiếp tục áp dụng công nghệ EtherHiding, nhúng dữ liệu điều khiển vào các tên miền Ethereum Name Service (ENS) như pawsatyou[.]eth. Cách làm này cho phép cập nhật C2 thông qua mạng blockchain phi tập trung, khiến việc triệt phá hoàn toàn botnet gần như bất khả thi.

Hiện diện ở 222 quốc gia, có thể tạo lưu lượng tấn công tới 30 Tbps

Trong giai đoạn 3–5/12, XLab ghi nhận 2,7 triệu địa chỉ IP duy nhất liên lạc với các máy chủ C2 bị thu giữ. Sau khi loại trừ IP trùng lặp do mạng gia đình dùng IP động, số thiết bị bị lây nhiễm ước tính ít nhất 1,8 triệu.

Tại thời điểm cao nhất ngày 4/12, Kimwolf có gần 1,83 triệu bot đang hoạt động, phân bố tại 222 quốc gia, trong đó số ca nhiễm nhiều nhất ghi nhận ở Brazil, Ấn Độ và Mỹ.

Các chuyên gia ước tính mạng botnet này có khả năng tạo ra lưu lượng DDoS lên tới 30 Tbps, tương đương những cuộc tấn công Internet lớn nhất từng được ghi nhận. Ngoài ra, mã độc còn phát đi hàng tỷ lệnh tấn công chỉ trong vài ngày, có thể nhằm phô trương sức mạnh hoặc thử nghiệm năng lực vận hành.

Smart TV, công cụ tấn công mới của tội phạm mạng toàn cầu

Theo giới an ninh mạng, smart TV và Android TV box đang trở thành “công cụ” của các cuộc tấn công mạng toàn cầu, do thường không được cập nhật firmware, sử dụng mật khẩu mặc định và thiếu các cơ chế bảo vệ cần thiết. Kimwolf được xem là minh chứng rõ ràng cho xu hướng tin tặc chuyển hướng sang khai thác các thiết bị IoT và giải trí gia đình để xây dựng botnet quy mô chưa từng có.

An Lâm (Theo Cyber Press