Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
KadNap to złośliwe oprogramowanie wymierzone w urządzenia brzegowe, przede wszystkim routery ASUS, których celem jest włączenie przejętych hostów do botnetu proxy. W odróżnieniu od wielu kampanii nastawionych na szyfrowanie danych lub kradzież plików, tutaj priorytetem jest przejęcie kontroli nad infrastrukturą sieciową i wykorzystanie jej do przekierowywania złośliwego ruchu.
Szczególnie niepokojący jest sposób ukrywania infrastruktury sterującej. Operatorzy KadNap wykorzystują zmodyfikowany mechanizm peer-to-peer oparty na Kademlii, dzięki czemu tradycyjne blokowanie centralnych serwerów dowodzenia staje się znacznie trudniejsze.
W skrócie
- Botnet KadNap był obserwowany od sierpnia 2025 roku.
- Skala infekcji przekroczyła 14 tys. urządzeń brzegowych.
- Najczęściej atakowane są routery ASUS, choć celem stają się również inne urządzenia sieciowe.
- Ponad 60% znanych infekcji przypada na Stany Zjednoczone.
- Malware działa jako binarka ELF dla architektur ARM i MIPS.
- Zainfekowane hosty są wykorzystywane jako węzły proxy do obsługi szkodliwego ruchu.
Kontekst / historia
Rosnąca liczba słabo zabezpieczonych urządzeń IoT i infrastruktury SOHO od lat sprzyja rozwojowi botnetów. Routery i inne urządzenia brzegowe często działają na nieaktualnym firmware, mają ograniczoną telemetrię i bywają rzadko objęte pełnym monitoringiem bezpieczeństwa.
W przypadku KadNap analitycy zwrócili uwagę na dużą liczbę urządzeń komunikujących się z podejrzaną infrastrukturą już w sierpniu 2025 roku. Kampania szybko urosła do rozmiaru, który wskazuje na dobrze przygotowaną operację o charakterze długoterminowym.
Istotne jest również prawdopodobne powiązanie botnetu z usługą proxy wykorzystywaną do działań przestępczych. Taki model sugeruje wykorzystanie przejętych routerów jako wiarygodnie wyglądających punktów wyjścia do dalszych ataków, ukrywania źródła ruchu, obchodzenia mechanizmów reputacyjnych oraz prowadzenia operacji z użyciem cudzej infrastruktury.
Analiza techniczna
Początkowy etap infekcji obejmuje pobranie złośliwego skryptu powłoki, który przygotowuje mechanizmy persystencji i uruchamia główny ładunek. Utrzymanie dostępu realizowane jest między innymi przez zadania cykliczne, co pozwala odtwarzać infekcję nawet po częściowym usunięciu komponentów.
Następnie na urządzenie trafia binarka ELF przeznaczona dla architektur ARM lub MIPS. Po uruchomieniu malware wykonuje typowe działania maskujące, takie jak odłączenie procesu od terminala i przekierowanie wejścia oraz wyjścia do odpowiednich zasobów systemowych, aby utrudnić wykrycie aktywności.
KadNap ustala także zewnętrzny adres IP i synchronizuje czas z publicznymi serwerami NTP. Dane te są później wykorzystywane do generowania wartości potrzebnych w komunikacji peer-to-peer oraz do obsługi niestandardowych mechanizmów wyszukiwania węzłów.
Najważniejszym elementem kampanii jest własna implementacja Kademlia DHT. W praktyce malware tworzy specjalnie przygotowane zapytania, generuje niestandardowe identyfikatory i przeszukuje sieć pośredników w celu dotarcia do właściwej infrastruktury C2. Taka architektura znacząco ogranicza skuteczność prostych blokad opartych wyłącznie na adresach IP.
Analitycy zauważyli jednak, że rozwiązanie nie było w pełni zdecentralizowane. Próbki KadNap regularnie przechodziły przez te same punkty pośrednie przed kontaktem z docelową infrastrukturą sterującą, co sugeruje, że operatorzy pozostawili sobie stałe elementy kontroli nad botnetem.
Po uzyskaniu łączności malware odbiera zaszyfrowane dane, odszyfrowuje je i pobiera kolejne komponenty. Wśród obserwowanych payloadów znalazły się skrypty modyfikujące reguły zapory, w tym blokujące port 22, co może utrudnić administratorom odzyskanie kontroli nad urządzeniem przez SSH. Inne pliki zawierały listy adresów C2 i dodatkowe dane konfiguracyjne potrzebne do dalszej pracy botnetu.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją infekcji jest zamiana legalnego urządzenia sieciowego w przestępczy węzeł pośredniczący. W praktyce oznacza to, że ruch prowadzony przez cyberprzestępców może wyglądać tak, jakby pochodził od właściciela zainfekowanego routera.
Dla organizacji oznacza to ryzyko operacyjne, reputacyjne i potencjalnie prawne. Zainfekowane urządzenie może zostać użyte do prób brute force, ukrywania pochodzenia ataków, omijania filtrów geolokalizacyjnych czy prowadzenia kolejnych kampanii z wykorzystaniem zaufanego punktu wyjścia.
Dodatkowe zagrożenie wynika z faktu, że kompromitacja dotyczy warstwy brzegowej sieci. Atakujący zyskują możliwość utrzymywania trwałej obecności w kluczowym miejscu infrastruktury, manipulowania regułami filtrowania, utrudniania reakcji incydentowej i potencjalnego przygotowania środowiska pod dalszą kompromitację.
Wysoki poziom trudności detekcji to kolejny problem. Połączenie architektury P2P, obsługi wielu platform sprzętowych, wykorzystania skryptów systemowych oraz mechanizmów maskujących sprawia, że pojedyncze wskaźniki kompromitacji mogą nie wystarczyć do skutecznego wykrycia zagrożenia.
Rekomendacje
Podstawowym krokiem powinno być sprawdzenie aktualności firmware routerów i innych urządzeń brzegowych, zwłaszcza tych wystawionych bezpośrednio do internetu. Należy również wyłączyć nieużywane usługi zdalnego dostępu oraz ograniczyć administrację tylko do zaufanych adresów i segmentów sieci.
Warto wdrożyć silne uwierzytelnianie administracyjne, regularną rotację haseł oraz okresowe porównywanie konfiguracji z wersjami referencyjnymi. Bezpieczne kopie ustawień i możliwość szybkiego odtworzenia konfiguracji po incydencie znacząco skracają czas reakcji.
W środowiskach firmowych zalecane jest monitorowanie nietypowej komunikacji wychodzącej z urządzeń sieciowych, szczególnie połączeń do nieznanych hostów, bootstrapów P2P oraz nietypowych relacji z serwerami czasu. Cennym sygnałem ostrzegawczym mogą być również zmiany w harmonogramach zadań, lokalnych skryptach startowych oraz regułach zapory.
Jeżeli istnieje podejrzenie kompromitacji, samo usunięcie pojedynczych plików może być niewystarczające. W takiej sytuacji należy rozważyć pełne przeinstalowanie firmware, zmianę poświadczeń administracyjnych, analizę historycznego ruchu oraz ocenę, czy urządzenie nie było wykorzystywane jako element infrastruktury proxy.
Podsumowanie
KadNap pokazuje, że współczesne botnety atakujące urządzenia brzegowe stają się coraz bardziej zaawansowane i trudniejsze do neutralizacji. Zamiast polegać wyłącznie na centralnym C2, operatorzy wykorzystują zmodyfikowane mechanizmy peer-to-peer, aby ukrywać infrastrukturę i utrudniać blokowanie.
Skala kampanii, koncentracja na routerach ASUS, obsługa wielu architektur oraz wykorzystanie przejętych urządzeń do przestępczego ruchu proxy sprawiają, że KadNap należy traktować jako poważne zagrożenie dla użytkowników indywidualnych i organizacji. Dla zespołów bezpieczeństwa to kolejny sygnał, że routery i inne urządzenia sieciowe muszą być traktowane jak pełnoprawne endpointy wymagające aktualizacji, monitoringu i regularnej weryfikacji integralności.