Ваш маршрутизатор ASUS может работать на киберпреступников. 14 000 устройств с практически неустранимым ботнетом
Домашние и деловые маршрутизаторы уже много лет являются излюбленными целями киберпреступников, о чем свидетельствуют описанные нами хакерские кампании AyySSHush и TheMoon. Однако новое открытие исследователей из Black Lotus Labs представляет собой угрозу совершенно другого уровня. Ботнет KadNap, набирающий силу с августа 2025 года, не только заразил тысячи сетевых устройств, но и сделал это таким образом, что его значительно сложнее устранить.
Последний ботнет KadNap использует децентрализованный протокол Kademlia DHT для сокрытия командной инфраструктуры, что делает ее чрезвычайно устойчивой к традиционным методам нейтрализации и превращает зараженные маршрутизаторы в анонимные прокси-узлы сети.
Хакеры больше не взламывают ИИ, они просто убеждают его. Вот как действует яд, покрытый сахаром.
Специалисты Black Lotus Labs (Lumen Technologies) раскрыли подробности работы ботнета KadNap в марте 2026 года, хотя первые его следы обнаружили еще в августе 2025 года. Тогда количество зараженных устройств составляло около 10 000. С тех пор их число увеличилось до 14 000. Атака в основном затрагивает маршрутизаторы ASUS, хотя операторы ботнетов используют одно и то же вредоносное ПО против различных периферийных устройств. Почти половина командной инфраструктуры (C2) предназначена исключительно для ботов, созданных на устройствах ASUS.
Больше никаких временных решений. Правительство приняло стратегию, призванную изменить кибербезопасность Польши к 2029 году.
Географически доминируют Соединенные Штаты с примерно 60 процентами. жертвы. Меньшая концентрация наблюдается на Тайване, в Гонконге, России, Великобритании, Австралии, Бразилии, Франции, Италии и Испании. Заражение протекает без использования нулевого дня. Злоумышленники используют известные, но неисправленные уязвимости. Сценарий оболочки отправляется на маршрутизатор aic.shкоторый предполагает задачу хрон запускать каждые 55 минут. Требуется исполняемый файл ELF (ARM или MIPS), переименовывает его в «кад» и бежит. Вредоносная программа блокирует порт 22 (SSH), чтобы затруднить удаленное вмешательство.
Уязвимость Gemini Live позволяла расширениям Chrome повышать привилегии и получать доступ к камере, микрофону и локальным файлам.
Что отличает KadNap от сотен предыдущих ботнетов, так это его архитектура C2, в которой используется модифицированная реализация протокола Kademlia DHT, той же технологии, которая используется в сетях BitTorrent и IPFS. Вместо централизации управления на одном или нескольких серверах, которые можно легко заблокировать, каждый зараженный узел хранит часть информации о местоположении C2. Адрес командного сервера нигде явно не прописан. Бот определяет это динамически, опрашивая другие узлы. В результате традиционная блокировка IP-адресов бессмысленна, поскольку сеть восстанавливается сама. Но это еще не конец. Зараженные маршрутизаторы предлагаются прокси-сервисом Doppelganger (который считается ребрендингом сервиса Faceless, ранее связанного с ботнетом TheMoon), который продает доступ к скомпрометированным устройствам в качестве резидентного прокси для атак методом перебора, подброса учетных данных или DDoS-кампаний.
Ваша гостевая сеть не защищает вас так сильно, как вы думаете. AirSnitch обходит шифрование Wi-Fi на устройствах Netgear, Cisco и ASUS
Для владельца роутера ASUS дело простое и неприятное. Его оборудование может использоваться киберпреступниками месяцами без каких-либо видимых симптомов. Lumen заблокировала трафик к инфраструктуре C2 внутри собственной сети, но это лишь частичный ответ. По сравнению с предыдущими ботнетами, нацеленными на ASUS, такими как кампании AyySSHush или TheMoon, которые мы описали, KadNap сложнее окончательно подорвать из-за его децентрализованной архитектуры. Разрыв, который заполняет эта операция, стар, как сам рынок маршрутизаторов. Владельцы не обновляют прошивку. Если эта тенденция сохранится, последующие ботнеты станут только более изощренными.
Источник: Lumen Black Lotus Labs.
