Ресёрчеры из Black Lotus Labs (Lumen) сообщили, что с начала октября 2025 года они нулл-рутили трафик к более чем 550 командным серверам, связанным с ботнетами AISURU и Kimwolf. Это не “один вирус”, а промышленная экосистема: заражённые устройства используют и для DDoS-атак, и как “жилые” прокси, которые потом сдают в аренду.
Ключевая деталь в том, что Kimwolf активно цепляется за серые Android TV-боксы и стриминговые приставки, где пользователи (или производители) оставляют открытым ADB. Дальше всё работает как конвейер: устройство заражают, на него ставят прокси-компонент, и его домашний IP начинает жить “в аренде” у злоумышленников. По оценкам в расследованиях, речь идёт о более чем 2 млн заражённых Android-устройств.
Почему это важно даже тем, кто “просто арендует сервер”. Во-первых, “жилые” прокси сложнее отфильтровать по репутации: трафик выглядит как обычный пользовательский, а не как дата-центр. Во-вторых, такая сеть удобна для массовых атак и сканирования, а значит вы чаще видите всплески по логам, попытки брутфорса, странные запросы к панелям, API и почте. В-третьих, ботнеты превращают рынок прокси в серую зону, где продают чужую полосу и чужие IP, а расплачиваются потом обычные владельцы устройств и бизнесы, на которые идёт атака.
Отдельный тревожный сигнал: исследователи отмечали резкие всплески набора ботов, когда заражённые узлы массово выставляли “на продажу” через один из прокси-сервисов. Это значит, что мотивация здесь не “похулиганить”, а стабильно зарабатывать на аренде трафика и атаках.
Что сделать прямо сейчас. Если у вас дома/в офисе есть ТВ-бокс на Android, отключите ADB, проверьте прошивку и не ставьте сомнительные APK. Если вы администрируете сервис, держите панель управления за VPN/allowlist, включите rate-limit на чувствительные эндпойнты и отслеживайте аномалии по 401/403/404 и всплескам соединений.
В HSTQ мы регулярно помогаем клиентам переживать такие волны: от базовой гигиены (фаервол, ограничения доступа, защита панели) до реактивных мер под атаку. Если нужно поднять проект в NL/DE/UK/USA/RU/SG и сразу нормально закрыть периметр, можно заказать VPS или выделенный сервер с преднастройкой и администрированием 24/7.
