Forskare vid Black Lotus Labs har identifierat en botnet som infekterar cirka 14 000 routrar dagligen, mestadels Asus-modeller i USA, med avancerad peer-to-peer-teknik för att undvika upptäckt. Malwaret, känt som KadNap, förvandlar dessa enheter till proxies för cyberbrottsliga aktiviteter. Infekterade användare uppmanas att fabriksåterställa sina routrar och installera firmwareuppdateringar för att avlägsna hotet.
KadNap-botnätet, som upptäcktes av Black Lotus Labs i augusti, har vuxit och infekterar nu i genomsnitt 14 000 routrar och nätverksenheter per dag från och med mars 2026, upp från 10 000 infektioner vid den initiala upptäckten. Majoriteten av de komprometterade enheterna är Asus-routrar, främst i USA, med mindre kluster i Taiwan, Hongkong och Ryssland. Enligt Chris Formosa, forskare vid Lumen’s Black Lotus Labs, utnyttjar malwaret opatchade sårbarheter i dessa enheter utan att använda zero-day-exploits. nnDet som utmärker KadNap är användningen av en peer-to-peer-nätverksstruktur baserad på Kademlia, ett distribuerat hash-tabellsystem (DHT) som ursprungligen populariserades i teknologier som BitTorrent. Denna design decentraliserar kontrollen, döljer IP-adresserna för command-and-control-servrar och gör botnätet mycket motståndskraftigt mot traditionella nedtagningsmetoder. »KadNap-botnätet sticker ut bland andra som stödjer anonyma proxies genom sin användning av ett peer-to-peer-nätverk för decentraliserad kontroll«, skrev Formosa och medforskaren Steve Rudd. »Deras avsikt är tydlig: undvika upptäckt och göra det svårt för försvarare att skydda sig.« nnI drift fungerar KadNap genom att noder frågar andra med en lösenfras för att lokalisera kontrollinfrastrukturen och så småningom tar emot filer med command-and-control-adresser. De infekterade enheterna används som proxies för Doppelganger, en avgiftsbelagd tjänst som dirigerar kundtrafik via bostadsinternetanslutningar för att möjliggöra anonym åtkomst till begränsade webbplatser. nnBlack Lotus Labs har utvecklat metoder för att blockera trafik till botnätets kontrollinfrastruktur och delar indikatorer på kompromettering, såsom specifika IP-adresser och filhasher, via offentliga feeds. Användare som misstänker infektion kan jämföra enhetens loggar med dessa indikatorer. För att rensa enheten måste ägarna utföra en fabriksåterställning – enbart omstart räcker inte, eftersom malwaret kvarstår via ett shell-skript – samt se till att firmware uppdateras, att lösenorden är starka och att fjärråtkomst inaktiveras när den inte behövs.