Ваш роутер ASUS ведёт двойную жизнь. Теперь он помогает хакерам взламывать чужие пароли
NewsMakerОбъясняем, как хитрая программа обманывает ваш Wi-Fi каждые 55 минут.
Команда подразделения Black Lotus Labs компании Lumen Technologies обнаружила новый ботнет KadNap, функционирующий с августа 2025 года. KadNap заражает маршрутизаторы ASUS и другое пограничное сетевое оборудование, превращая устройства в прокси для вредоносного трафика. За несколько месяцев сеть разрослась до примерно 14 тысяч узлов и стала частью обширной инфраструктуры, которую киберпреступники используют для сокрытия атак и обхода блокировок.
Узлы объединяются в одноранговую сеть и взаимодействуют с управляющей инфраструктурой через модифицированную версию протокола распределённой хеш-таблицы Kademlia. Такой подход усложняет обнаружение управляющих серверов, поскольку данные распределены между участниками сети, а каждый узел хранит лишь часть информации.
Около половины заражённых устройств связаны с управляющими серверами, обслуживающими ботов на базе маршрутизаторов ASUS . Остальные узлы подключаются к двум другим серверам управления. Наибольшее число заражённых систем находится в США — около 60 процентов всей сети. Заметные доли также приходятся на Тайвань, Гонконг и Россию.
Заражение начинается с загрузки вредоносного сценария aic.sh с удалённого сервера. Сценарий закрепляется в системе через задачу cron, которая запускается каждые 55 минут. Затем устройство получает ELF-файл kad, устанавливающий клиент KadNap. После запуска программа определяет внешний IP-адрес устройства и обращается к нескольким серверам NTP, чтобы получить текущее время и сведения о времени работы системы.
Команда подразделения Black Lotus Labs компании Lumen Technologies обнаружила новый ботнет KadNap, функционирующий с августа 2025 года. KadNap заражает маршрутизаторы ASUS и другое пограничное сетевое оборудование, превращая устройства в прокси для вредоносного трафика. За несколько месяцев сеть разрослась до примерно 14 тысяч узлов и стала частью обширной инфраструктуры, которую киберпреступники используют для сокрытия атак и обхода блокировок.
Узлы объединяются в одноранговую сеть и взаимодействуют с управляющей инфраструктурой через модифицированную версию протокола распределённой хеш-таблицы Kademlia. Такой подход усложняет обнаружение управляющих серверов, поскольку данные распределены между участниками сети, а каждый узел хранит лишь часть информации.
Около половины заражённых устройств связаны с управляющими серверами, обслуживающими ботов на базе маршрутизаторов ASUS . Остальные узлы подключаются к двум другим серверам управления. Наибольшее число заражённых систем находится в США — около 60 процентов всей сети. Заметные доли также приходятся на Тайвань, Гонконг и Россию.
Заражение начинается с загрузки вредоносного сценария aic.sh с удалённого сервера. Сценарий закрепляется в системе через задачу cron, которая запускается каждые 55 минут. Затем устройство получает ELF-файл kad, устанавливающий клиент KadNap. После запуска программа определяет внешний IP-адрес устройства и обращается к нескольким серверам NTP, чтобы получить текущее время и сведения о времени работы системы.