Penyelidik di Black Lotus Labs telah mengidentifikasi botnet yang menginfeksi sekitar 14.000 router setiap hari, sebagian besar model Asus di AS, menggunakan teknologi peer-to-peer canggih untuk menghindari deteksi. Malware yang dikenal sebagai KadNap mengubah perangkat ini menjadi proxy untuk aktivitas kejahatan siber. Pengguna yang terinfeksi disarankan untuk mereset pabrik router mereka dan menerapkan pembaruan firmware untuk menghilangkan ancaman.
Botnet KadNap, yang ditemukan oleh Black Lotus Labs pada Agustus, telah berkembang hingga menginfeksi rata-rata 14.000 router dan perangkat jaringan per hari sejak Maret 2026, naik dari 10.000 infeksi pada saat deteksi awal. Mayoritas perangkat yang dikompromikan adalah router Asus, terutama yang berlokasi di AS, dengan kelompok kecil di Taiwan, Hong Kong, dan Rusia. Menurut Chris Formosa, seorang peneliti di Black Lotus Labs milik Lumen, malware ini mengeksploitasi kerentanan yang belum ditambal di perangkat-perangkat tersebut, tanpa bergantung pada eksploit zero-day. nnYang membedakan KadNap adalah penggunaan struktur jaringan peer-to-peer berbasis Kademlia, sistem distributed hash table (DHT) yang awalnya dipopulerkan dalam teknologi seperti BitTorrent. Desain ini mendesentralisasi kontrol, menyembunyikan alamat IP server command-and-control, dan membuat botnet sangat tahan terhadap metode penghapusan tradisional. nnBotnet KadNap menonjol di antara botnet lain yang mendukung proxy anonim berkat penggunaan jaringan peer-to-peer untuk kontrol terdesentralisasi,” tulis Formosa dan peneliti sesama Steve Rudd. “Niat mereka jelas: menghindari deteksi dan menyulitkan para pembela untuk melindungi. nnDalam operasinya, KadNap berfungsi dengan cara node-node mengirim query ke node lain menggunakan passphrase untuk menemukan infrastruktur kontrol, dan akhirnya menerima file berisi alamat command-and-control. Perangkat yang terinfeksi berfungsi sebagai proxy untuk Doppelganger, layanan berbayar yang merutekan lalu lintas pelanggan melalui koneksi internet residensial untuk memungkinkan akses anonim ke situs yang dibatasi. nnBlack Lotus Labs telah mengembangkan metode untuk memblokir lalu lintas ke infrastruktur kontrol botnet dan membagikan indikator kompromi, seperti alamat IP tertentu dan hash file, melalui feed publik. Pengguna yang curiga terinfeksi dapat memeriksa log perangkat terhadap indikator-indikator ini. Untuk melakukan pembersihan, pemilik harus melakukan reset pabrik—restart saja tidak cukup, karena malware bertahan melalui shell script—dan memastikan firmware diperbarui, kata sandi kuat, serta akses jarak jauh dinonaktifkan bila tidak diperlukan.
