180万安卓设备被感染；

控制服务器所用域名Cloudflare域名流行度排名超谷歌，全球第一；

72小时内下发超过17亿条攻击指令，攻击覆盖全球；

Kimwolf僵尸网络浮出水面。

近日，奇安信X实验室发布研究报告，揭秘了一个名为“Kimwolf”的巨型僵尸网络。这一网络在短时间内感染了全球超过180万台安卓设备，规模之大、影响之广，堪称近年来网络安全领域最令人震惊的事件之一。该僵尸网络的其中一个控制服务器域名在知名网络服务商Cloudflare域名流行度排名中甚至超越谷歌，问鼎Cloudflare域名流行度排名全球第一。

Kimwolf僵尸网络的目标主要是智能电视盒子等家用设备，这些设备普遍存在安全防护不足的问题，因此成为攻击者的首选。

Kimwolf的疯狂程度令人咋舌。报告显示，在某些时段，它曾在三天内下发超过17亿条攻击指令，几乎覆盖全球范围。如此庞大的攻击规模，即便未必能对所有目标造成实质伤害，也足以彰显其存在感，震动整个网络安全社区。

更令人关注的是，Kimwolf并非孤立存在。研究发现，它与此前臭名昭著的“Aisuru”僵尸网络存在密切关联。两者在传播方式、控制手段上有明显的同源特征，甚至共享部分基础设施。这意味着背后可能是同一个黑客团伙在操纵，显示出极强的组织性和持续演化能力。

除了攻击本身，Kimwolf还留下了不少“彩蛋”。例如，在部分样本中，攻击者在控制台输出中夹带政治口号、讽刺信息，甚至针对知名网络安全记者Brian Krebs留下挑衅字样，表现出一种近乎“黑粉”的执念。这些细节让人看到，Kimwolf的操作者不仅在技术上不断升级，还在心理层面试图制造话题和恐慌。

报告还指出，Kimwolf的感染设备分布在全球222个国家和地区，其中巴西、印度、美国、阿根廷等国家的比例最高。这种全球化的分布，使它具备发动跨国攻击的能力，潜在破坏力不容忽视。更有甚者，在某些攻击载荷中，黑客还夹带嘲讽、挑衅甚至勒索信息，显示出其嚣张的态度。

值得注意的是，Kimwolf不仅仅是一个单纯的攻击工具，它还与经济利益挂钩。研究发现，攻击者在感染设备后，还投放了其他组件，例如用于代理转发的程序及变现工具。通过这种方式，黑客能够从庞大的僵尸网络中直接获利，甚至每月收入可达数万美元。

奇安信X实验室的这份报告，不仅首次揭示了Kimwolf的真实规模和攻击能力，也为全球网络安全社区提供了重要的研究成果。它让我们看到，僵尸网络已经从早期的路由器、摄像头，逐渐扩展到智能电视、电视盒子等新型设备，网络安全威胁正在不断演化。

详细报告请点击：https://blog.xlab.qianxin.com/kimwolf-botnet/