Новый вредонос KadNap заразил 14 тысяч роутеров Asus

Новый вредонос KadNap атакует маршрутизаторы Asus и превращает их в ботнет для прокси вредоносного трафика. Его обнаружила команда Black Lotus Labs из Lumen. Вирус KadNap появился в августе 2025 года и к настоящему моменту атаковал 14 тысяч устройств по всему миру.

Свыше 60% заражений приходится на США. Остальные случаи выявили на Тайване, в Гонконге, России, Великобритании, Австралии, Бразилии, Франции, Италии и Испании.

KadNap работает на модифицированной версии протокола Kademlia DHT. Такой подход позволяет скрывать IP-адреса управляющей инфраструктуры внутри P2P-сети, что делает их невидимыми для традиционного сетевого мониторинга. Заражённые устройства используют DHT, чтобы найти командные серверы и установить с ними соединение. Систему из-за этого крайне сложно обнаружить и обезвредить.

После заражения устройства продают через прокси-сервис Doppelgänger на сайте doppelganger.shop. Последний может быть ребрендингом другого прокси-сервиса Faceless, который связан с вредоносом TheMoon. На сайте Doppelgänger есть информация о резидентных прокси в 50 с лишним странах и полной анонимности.

Хотя основная цель — роутеры Asus, операторы KadNap заражают и другие граничные сетевые устройства. Заражение стартует с загрузки скрипта aic.sh с командного сервера по адресу 212.104.141.140. Скрипт создаёт задание в cron, которое каждый час на 55-й минуте загружает файл с сервера, переименовывает его в .asusrouter и запускает.

Закрепившись в системе, скрипт загружает вредоносный ELF-файл, переименовывает его в kad и начинает работу. Далее разворачивается сам KadNap.

KadNap устанавливает соединение с NTP-сервером и получает текущее время. Данные сохраняются вместе со временем работы хоста. На основе полученной информации создаётся хеш. С его помощью вредоносное ПО находит другие узлы в сети для получения команд или подгрузки файлов.

Файлы fwr.sh и /tmp/.sose закрывают порт 22 на заражённом устройстве. Это стандартный порт для SSH. Там же находится список адресов и портов командных серверов для подключения. Эксперты Lumen отмечают, что применение DHT позволяет создавать каналы связи, которые весьма сложно нарушить. Вредонос маскируется под обычный P2P-трафик.

Не все заражённые устройства общаются с каждым командным сервером, так как инфраструктуру разделили по типам и моделям. Злоумышленники уже используют боты Doppelgänger в реальных атаках. Ответственных за конкретные атаки определить сложно, поскольку устройства Asus часто могут быть заражены несколькими вредоносами одновременно.