Lumen Technologies ha identificato una nuova botnet chiamata Kadnap che sfrutta router Asus compromessi per creare una rete di proxy utilizzata in attività criminali online. L’indagine dei ricercatori di Black Lotus Labs ha rivelato oltre 14.000 dispositivi infetti, con circa il 60 percento delle vittime negli Stati Uniti. La botnet utilizza una versione modificata del protocollo Kademlia Distributed Hash Table (DHT) per nascondere l’infrastruttura di comando e controllo, rendendo più difficile il rilevamento tramite metodi tradizionali. Questo approccio consente agli operatori di coordinare i dispositivi compromessi sfruttando una rete peer-to-peer simile a quella utilizzata nei sistemi BitTorrent. L’operazione è stata individuata nell’agosto 2025 e continua a rappresentare una minaccia per dispositivi SOHO (Small Office Home Office) non aggiornati o configurati in modo insicuro.
Cosa leggere
Black Lotus Labs identifica Kadnap tramite monitoraggio del traffico P2P
La scoperta della botnet Kadnap è stata possibile grazie agli algoritmi di monitoraggio utilizzati dai ricercatori di Black Lotus Labs, il team di threat intelligence di Lumen Technologies. Nel corso dell’estate 2025, gli analisti hanno rilevato oltre 10.000 router Asus che comunicavano con server sospetti attraverso traffico P2P. L’analisi successiva ha portato all’identificazione di uno script shell malevolo chiamato aic.sh, scaricato dal server 212.104.141.140. Lo script crea un cron job che esegue periodicamente il malware, garantendo la persistenza del sistema compromesso. Il codice rinomina ed esegue un file binario ELF denominato kad, salvato nella directory /jffs/.asusrouter. Grazie alla telemetria del backbone globale di Lumen e alla collaborazione con l’azienda di intelligence Spur, i ricercatori hanno collegato l’infrastruttura della botnet a un servizio proxy noto come Doppelganger, considerato un rebranding della piattaforma criminale Faceless. Nel giro di pochi mesi il numero di router compromessi è cresciuto fino a superare 14.000 dispositivi unici, con una distribuzione geografica concentrata soprattutto negli Stati Uniti ma presente anche in Taiwan, Hong Kong e Russia.
Kadnap utilizza una implementazione personalizzata del protocollo Kademlia DHT
Uno degli aspetti più innovativi della botnet Kadnap è l’utilizzo di una implementazione personalizzata del protocollo Kademlia DHT, una tecnologia normalmente utilizzata nei sistemi di condivisione file peer-to-peer. In questo caso il protocollo viene impiegato per nascondere i server di comando e controllo della botnet. I dispositivi infetti comunicano tra loro scambiando informazioni tramite tabelle hash distribuite, rendendo più difficile individuare un singolo punto centrale di controllo. Il malware supporta architetture ARM e MIPS, tipiche dei router domestici. Una volta avviato, il processo principale esegue un fork e reindirizza gli stream STDIN, STDOUT e STDERR verso /dev/null, eliminando qualsiasi output visibile. Il sistema determina poi l’indirizzo IP esterno del dispositivo e sincronizza il tempo tramite server NTP. Queste informazioni vengono utilizzate per generare chiavi crittografiche e identificatori necessari alla comunicazione nella rete DHT. I nodi infetti generano pacchetti DHT contenenti stringhe codificate tramite bencoding, una tecnica utilizzata anche nel protocollo BitTorrent. Alcuni campi vengono riempiti con valori ottenuti da operazioni XOR tra il tempo di sistema e l’uptime del router. Il risultato finale viene sottoposto a hashing SHA-1 per produrre un info hash utilizzato per identificare le comunicazioni all’interno della rete Kadnap.
I router infetti diventano proxy per attività criminali
Una volta integrati nella rete, i router compromessi vengono utilizzati come proxy anonimi per diverse attività illegali. Gli operatori della botnet vendono accesso a queste infrastrutture a criminali informatici che le utilizzano per:
attacchi di brute force contro account online
tentativi di exploit contro servizi esposti su internet
attività di scraping o automazione non autorizzata
L’uso di router domestici come proxy consente agli attaccanti di nascondere la propria origine reale e bypassare sistemi di geolocalizzazione o blocchi basati su ASN. Il traffico malevolo viene inoltre camuffato all’interno di flussi peer-to-peer simili a BitTorrent, rendendo più difficile per gli strumenti di sicurezza distinguere le comunicazioni legittime da quelle della botnet. Secondo i dati raccolti da Lumen, il numero di dispositivi attivi nella rete Kadnap rimane relativamente stabile, con una media giornaliera di circa 14.000 router compromessi.
Infrastruttura della botnet e nodi persistenti
Nonostante l’utilizzo della rete DHT, l’analisi ha rivelato alcune debolezze nell’architettura della botnet. Molti router infetti contattano inizialmente due nodi persistenti prima di stabilire comunicazioni con altri peer della rete. Questi nodi, identificati dagli analisti, utilizzano gli indirizzi IP:
45.135.180.38
45.135.180.177
La presenza di questi punti relativamente stabili rende possibile individuare parte dell’infrastruttura della botnet e sviluppare strategie di disruption. Il malware scarica inoltre script aggiuntivi come fwr.sh, utilizzati per modificare le regole del firewall del router compromesso. In alcuni casi lo script chiude la porta 22, impedendo l’accesso remoto tramite SSH e rendendo più difficile la rimozione dell’infezione. Queste tecniche dimostrano che Kadnap è progettato per mantenere il controllo dei dispositivi compromessi nel lungo periodo.
Lumen blocca il traffico verso i server di comando
Dopo aver identificato l’infrastruttura della botnet, Lumen Technologies ha iniziato a bloccare il traffico verso i server di comando attraverso il servizio di sicurezza Lumen Defender. Questo intervento ha ridotto significativamente l’impatto dell’operazione sui clienti dell’azienda, anche se la botnet rimane attiva su molti router domestici non protetti. I ricercatori hanno inoltre pubblicato una lista completa di indicatori di compromissione (IOC) su GitHub per aiutare aziende e provider di sicurezza a individuare dispositivi infetti.
Tra gli indicatori principali figurano:
script aic.sh scaricato da 212.104.141.140
file malware kad nella directory /jffs/.asusrouter
connessioni ai nodi 45.135.180.38 e 45.135.180.177
Queste informazioni consentono agli amministratori di rete di monitorare il traffico sospetto e bloccare eventuali comunicazioni con la botnet.
Impatto sulla sicurezza dei dispositivi SOHO
La scoperta di Kadnap evidenzia ancora una volta la vulnerabilità dei dispositivi SOHO, spesso utilizzati in abitazioni o piccoli uffici senza adeguate misure di sicurezza. Molti router domestici non ricevono aggiornamenti firmware regolari oppure continuano a essere utilizzati anche dopo aver raggiunto lo stato di end-of-life. Questo rende più facile per i criminali sfruttare vulnerabilità note per installare malware persistente. Nel caso di Kadnap, i router compromessi diventano involontariamente parte di una rete criminale utilizzata per attacchi informatici globali. Oltre ai rischi legali per gli utenti inconsapevoli, l’infezione può causare degradazione delle prestazioni di rete e potenziale esposizione di dati sensibili.
Raccomandazioni di sicurezza per utenti e aziende
Gli esperti di sicurezza raccomandano diverse misure per ridurre il rischio di infezione da botnet come Kadnap. Gli utenti domestici dovrebbero aggiornare regolarmente il firmware del router, utilizzare password amministrative robuste e disabilitare l’accesso remoto non necessario. Un’altra misura importante consiste nel riavviare periodicamente il router, operazione che in alcuni casi può interrompere temporaneamente la persistenza del malware. Per le aziende e i provider di servizi internet è fondamentale monitorare il traffico verso tracker BitTorrent sospetti o nodi associati alla botnet. L’uso di firewall avanzati e sistemi di rilevamento delle intrusioni può aiutare a individuare comunicazioni anomale generate da dispositivi compromessi. Le linee guida pubblicate da enti come CISA e Cyber.gc.ca suggeriscono inoltre di sostituire i dispositivi di rete obsoleti e implementare controlli di sicurezza più rigorosi nelle infrastrutture domestiche e aziendali.
L’evoluzione delle botnet router nel panorama cybercrime
Kadnap rappresenta un esempio della nuova generazione di botnet progettate per sfruttare dispositivi di rete domestici. A differenza delle botnet tradizionali basate su server centralizzati, queste reti utilizzano architetture peer-to-peer decentralizzate per aumentare la resilienza contro le operazioni di smantellamento. L’integrazione con servizi proxy criminali come Doppelganger dimostra inoltre come queste infrastrutture siano diventate parte di un ecosistema underground più ampio, utilizzato per attività che spaziano dagli attacchi automatizzati allo spam fino allo sfruttamento di vulnerabilità. Secondo gli analisti di sicurezza, la diffusione di router economici e dispositivi IoT con firmware poco aggiornato continuerà a rappresentare un terreno fertile per nuove botnet. Il caso Kadnap dimostra quindi l’importanza di migliorare la sicurezza dei dispositivi di rete domestici, che stanno diventando sempre più spesso un bersaglio strategico per il cybercrime globale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
