إصابة 14,000 راوتر أسوس ببرمجية KadNap الخبيثة المقاومة للإسقاط

العربية

اكتشف باحثون في Black Lotus Labs بوتنتًا يصيب حوالي 14,000 راوتر يوميًا، معظمها نماذج أسوس في الولايات المتحدة، باستخدام تقنية بين الأقران المتقدمة للتهرب من الكشف. البرمجية الخبيثة المعروفة باسم KadNap تحول هذه الأجهزة إلى بروكسيات لأنشطة الجرائم الإلكترونية. يُنصح المستخدمون المصابون بإعادة ضبط الراوترات إلى الإعدادات المصنعية وتطبيق تحديثات البرمجيات الثابتة لإزالة التهديد.

بوتنت KadNap، الذي اكتشفته Black Lotus Labs في أغسطس، نمى ليصيب في المتوسط 14,000 راوتر وجهاز شبكة يوميًا حتى مارس 2026، ارتفاعًا من 10,000 إصابة عند الاكتشاف الأولي. الغالبية العظمى من الأجهزة المخترقة هي راوترات أسوس، تقع أساسًا في الولايات المتحدة، مع تجمعات أصغر في تايوان وهونغ كونغ وروسيا. وفقًا لـ Chris Formosa، باحث في Black Lotus Labs التابعة لـ Lumen، تستغل البرمجية الخبيثة الثغرات غير المصححة في هذه الأجهزة، دون الاعتماد على استغلال ثغرات يوم الصفر الجديدة (zero-day exploits). ما يميز KadNap هو استخدامه لهيكل شبكة بين الأقران يعتمد على Kademlia، وهو نظام جدول هاش موزع (DHT) اشتهر أولًا في تقنيات مثل BitTorrent. هذا التصميم يوزع السيطرة، مخفيًا عناوين IP لخوادم القيادة والسيطرة ويجعل البوتنت مقاومًا للغاية لطرق الإسقاط التقليدية. «يبرز بوتنت KadNap بين غيره من البوتنتات التي تدعم البروكسيات المجهولة باستخدام شبكة بين الأقران للسيطرة الموزعة»، كتب Formosa والباحث الزميل Steve Rudd. «نواياهم واضحة: تجنب الكشف وجعل الحماية صعبة على المدافعين». في عملية التشغيل، تعمل KadNap من خلال جعل العقد تستعلم عقدًا أخرى باستخدام عبارة مرور لتحديد موقع بنية السيطرة، وفي النهاية تتلقى ملفات تحتوي على عناوين القيادة والسيطرة. تخدم الأجهزة المصابة كبروكسيات لـ Doppelganger، وهي خدمة مدفوعة الأجر توجه حركة مرور العملاء عبر اتصالات إنترنت سكنية لتمكين الوصول المجهول إلى المواقع المقيدة. طورت Black Lotus Labs طرقًا لمنع حركة المرور إلى بنية سيطرة البوتنت وتشارك مؤشرات الاختراق مثل عناوين IP محددة وهاشات الملفات عبر تغذيات عامة. يمكن للمستخدمين المشتبه في إصابتهم التحقق من سجلات الأجهزة مقابل هذه المؤشرات. لإزالة العدوى، يجب على المالكين إجراء إعادة ضبط مصنعي —إعادة التشغيل وحدها غير كافية، إذ تستمر البرمجية الخبيثة عبر نص shell— والتأكد من تحديث البرمجيات الثابتة وأن كلمات المرور قوية وتعطيل الوصول عن بعد عند عدم الحاجة.

مقالات ذات صلة

Dramatic server room scene illustrating the SSHStalker Linux botnet infecting thousands of vulnerable servers via SSH exploits.
صورة مولدة بواسطة الذكاء الاصطناعي

Researchers discover SSHStalker botnet infecting Linux servers

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

Flare researchers have identified a new Linux botnet called SSHStalker that has compromised around 7,000 systems using outdated exploits and SSH scanning. The botnet employs IRC for command-and-control while maintaining dormant persistence without immediate malicious activities like DDoS or cryptomining. It targets legacy Linux kernels, highlighting risks in neglected infrastructure.

Western agencies warn of russian hackers on tp-link routers

The FBI, BND and BfV warn of attacks by Russian state hackers on TP-Link routers and WLAN extenders. The Fancy Bear group has infiltrated thousands of devices worldwide to steal sensitive data. In Germany, 30 affected devices have already been detected.

US and Europe disrupt SocksEscort proxy network

من إعداد الذكاء الاصطناعي

Law enforcement agencies from the United States and Europe, supported by private partners, have taken down the SocksEscort cybercrime proxy network. This service, powered by the AVRecon malware infecting Linux-based devices, provided cybercriminals with access to compromised IP addresses. The operation resulted in the seizure of domains, servers, and cryptocurrency assets.

تكنولوجيا

Massiv android malware targets portuguese users with fake iptv app

تكنولوجيا

FCC router ban: Cyberattack links and expert backlash

تكنولوجيا

Experts claim ransomware attacks increasingly target firewalls

Duet Night Abyss launcher spreads malware on Steam

Developers of the gacha RPG Duet Night Abyss have apologized for a cybersecurity incident that distributed malware to players' PCs via a launcher update on March 18. The malware, identified as Trojan:MSIL/UmbralStealer.DG!MTB, targets passwords and cryptocurrency. Players receive in-game compensation as the team implements security enhancements.

New SysUpdate malware variant targets Linux systems

من إعداد الذكاء الاصطناعي

A new variant of the SysUpdate malware has been discovered targeting Linux systems, featuring advanced encryption for command-and-control communications. Security researchers at LevelBlue identified the threat during a digital forensics engagement and developed a tool to decrypt its traffic. The malware disguises itself as a legitimate system service to evade detection.

31 مارس 2026 02:50

Router firms respond to FCC foreign Wi-Fi ban amid cyber threats

07 مارس 2026 19:46

IT expert warns of digital scams ahead of Lebaran

26 فبراير 2026 18:05

New AirSnitch attack bypasses Wi-Fi client isolation

23 فبراير 2026 08:01

Malicious npm packages harvest crypto keys and secrets

14 فبراير 2026 06:39

SSHStalker botnet uses IRC to target Linux servers

11 فبراير 2026 12:13

North Korean hackers use AI video to spread malware

11 فبراير 2026 07:36

Top VPNs targeted by typosquatting with malicious fake domains

10 فبراير 2026 19:39

New Linux botnet SSHStalker uses IRC for command-and-control

04 فبراير 2026 19:25

Russian hackers exploit Microsoft Office vulnerability days after patch

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض