全球超过180万台安卓设备遭遇感染；

其控制服务器所使用的域名，在Cloudflare的域名流行度排名中超越了谷歌，位居全球首位；

更令人震惊的是，它在短短72小时内就发出了超过170亿条攻击指令，攻击范围几乎覆盖全球；

这便是浮出水面的“Kimwolf”僵尸网络。

近日，奇安信X实验室发布了一份研究报告，揭示了一个名为“Kimwolf”的大型僵尸网络。这个网络在短时间内便感染了全球超过180万台安卓设备，其规模之大、波及范围之广，堪称近年来网络安全领域最惊人的事件之一。更引人注目的是，该僵尸网络使用的一个控制服务器域名，在知名网络服务商Cloudflare的域名流行度排名中，甚至超越了谷歌，问鼎全球第一。

“Kimwolf”僵尸网络的目标主要集中在智能电视盒子等家用设备上，这些普遍存在的安全防护短板，恰好成为了攻击者的突破口。

“Kimwolf”的活动猖獗程度着实令人咋舌。报告显示，在某些时间段，它曾在三天内下发超过170亿条攻击指令，其攻击范围几乎遍及全球。如此庞大的行动规模，即便未必能对所有目标造成实质损害，也足以彰显其存在感，震动了整个网络安全社群。

更值得关注的是，“Kimwolf”并非孤立存在。研究发现，它与此前臭名昭著的“Aisuru”僵尸网络存在紧密关联。两者在传播方式、控制手段上显示出明显的同源特征，甚至共享部分基础设施。这意味着其背后很可能是同一个黑客团伙在操纵，显示出极强的组织性和持续进化能力。

除了攻击行为本身，“Kimwolf”还留下了不少“彩蛋”。例如，在部分样本中，攻击者在控制台输出中夹带政治口号、讽刺信息，甚至针对知名网络安全记者Brian Krebs留下挑衅字样，表现出一种近乎“狂热”的执念。这些细节让人看到，“Kimwolf”的操控者不仅在技术上不断升级，还在心理层面试图制造话题和恐慌。

报告还指出，“Kimwolf”的感染设备分布在全球222个国家和地区，其中巴西、印度、美国、阿根廷等国家的比例最高。这种全球化的分布，使它具备发动跨国攻击的能力，潜在破坏力不容小觑。更有甚者，在某些攻击载荷中，黑客还夹带嘲讽、挑衅甚至勒索信息，显示出其嚣张的态度。

值得注意的是，“Kimwolf”不仅仅是一个单纯的攻击工具，它还与经济利益挂钩。研究发现，攻击者在感染设备后，还会投放其他组件，例如用于代理转发的程序及变现工具。通过这种方式，黑客能够从庞大的僵尸网络中直接获利，甚至每月收入可达数万美元。

奇安信X实验室的这份报告，不仅首次揭示了“Kimwolf”的真实规模和攻击能力，也为全球网络安全社群提供了重要的研究成果。它让我们看到，僵尸网络已经从早期的路由器、摄像头，逐渐扩展到智能电视、电视盒子等新型设备，网络安全威胁正在不断演变。

详细报告请点击：https://blog.xlab.qianxin.com/kimwolf-botnet/