Роутеры превратили в «торрент-сеть» для хакеров: новый ботнет KadNap не виден для систем слежения
Эксперты компании Lumen Technologies обнаружили вредоносное ПО KadNap, которое превратило более 14 тысяч роутеров в скрытый ботнет. Особенность угрозы — использование пиринговой сети, делающей её невидимой для стандартных систем защиты.
Исследовательская группа, отслеживая активность ботнета (сети заражённых устройств, которыми управляют хакеры) с августа 2025 года установила, что за полгода количество заражённых устройств выросло с 10 до 14 тысяч. Порядка 60% находятся в США, остальные — на Тайване, в Гонконге и России, а под удар попали преимущественно роутеры ASUS. Вирус использует протокол Kademlia — распределённую хеш-таблицу, применяемую в торрент-клиентах. Заражённый роутер не подключается напрямую к серверу управления, а ищет другие инфицированные устройства через цепочку пиров, а IP-адреса реальных командных серверов скрыты внутри этой сети.
При заражении устройство начинает обращаться к публичным BitTorrent-трекерам и генерирует хеш на основе времени работы роутера. В финале роутер получает файлы, которые закрывают удалённый доступ (порт SSH) и загружают список серверов управления. По данным аналитиков, трафик заражённых роутеров продаётся через прокси-сервис Doppelganger, ранее работавшей на базе ботнета TheMoon. Злоумышленники могут арендовать каналы через эти устройства для брутфорса сайтов или скрытия своих атак.
Исследователи нашли слабое место: несмотря на децентрализацию, ботнет использует два постоянных промежуточных узла (45.135.180.38 и 45.135.180.177) для выхода на серверы, что даёт операторам контроль, но и позволяет бороться с угрозой. Lumen Technologies уже заблокировала на своей магистрали весь трафик к инфраструктуре управления KadNap. Компания также выложила в открытый доступ индикаторы
