Угроза для российских владельцев ASUS: новый ботнет превращает роутеры в прокси для киберпреступников

Специалисты подразделения Black Lotus Labs компании Lumen Technologies выявили новую вредоносную программу KadNap, которая нацелена на роутеры ASUS и другие сетевые устройства. Как поясняют эксперты, зараженные узлы используются для создания анонимной прокси-сети, скрывающей источник вредоносной активности.

Процесс заражения начинается с загрузки вредоносного скрипта aic.sh с сервера 212.104.141[.]140. Скрипт создает задание в планировщике cron, которое запускается каждые 55 минут, обеспечивая персистентность. Затем на устройство загружается исполняемый файл kad, устанавливающий клиент KadNap. Специалисты уточняют, что вредонос способен заражать устройства как на архитектуре ARM, так и MIPS.

Главная особенность KadNap — использование кастомной реализации протокола Kademlia (DHT), который обычно применяется в пиринговых сетях. Это позволяет ботам находить друг друга и связываться с command-and-control серверами без централизованной инфраструктуры, что серьезно затрудняет обнаружение и блокировку управляющих узлов.

Исследователи выяснили, что перед подключением к C2 каждый зараженный узел обращается к серверам точного времени (NTP), чтобы получить текущее время и аптайм системы. На основе этих данных формируется хеш для поиска других участников ботнета. Дополнительные загружаемые файлы fwr.sh и /tmp/.sose закрывают 22 порт (SSH) на зараженном устройстве и извлекают список C2-адресов для подключения.

География распространения ботнета неравномерна: 60% зараженных устройств находятся в США. Значительное количество инфицированных роутеров зафиксировано также на Тайване, в Гонконге и России. Меньшая доля приходится на Великобританию, Австралию, Бразилию, Францию, Италию и Испанию.

Примечательно, что не все скомпрометированные устройства взаимодействуют с одними и теми же управляющими серверами. Исследователи Black Lotus Labs предполагают, что инфраструктура сегментирована по типам и моделям устройств, что говорит о продуманном подходе операторов ботнета.

Монетизируется сеть через прокси-сервис Doppelgänger (doppelganger[.]shop), который позиционирует себя как поставщик «резидентных прокси» с «100% анонимностью» в более чем 50 странах. Аналитики связывают этот сервис с Faceless — прокси-сетью, ранее ассоциировавшейся с ботнетом TheMoon, который также атаковал роутеры ASUS. Сервис запустился примерно в мае-июне 2025 года и теперь предлагает доступ к зараженным устройствам для организации DDoS-атак, брутфорса и подбора учетных данных.

Lumen Technologies уже предприняла меры по нейтрализации угрозы. Компания заблокировала весь трафик к управляющей инфраструктуре ботнета и обратно в пределах своей сети. Список индикаторов компрометации будет опубликован для помощи другим организациям в противодействии KadNap.

Владельцам домашних и офисных роутеров рекомендуется регулярно обновлять прошивку, перезагружать устройства, менять пароли по умолчанию, закрывать интерфейсы управления от внешнего доступа и заменять устаревшие модели, которые больше не получают обновлений безопасности.

По словам старшего специалиста отдела внедрения и сопровождения систем защиты информации Infosecurity («Софтлайн Решения») Сергея Космакова, ключевой риск для владельца зараженного маршрутизатора заключается в снижении скорости интернета, блокировке IP-адреса интернет-сервисами, такими как маркетплейсы или соцсети.

«Чтобы защититься, необходимо регулярно обновлять прошивку роутера и устанавливать все доступные обновления безопасности, — рекомендует Космаков. — Также важно провести базовые настройки безопасности на устройстве: сменить стандартные пароли администратора на сложные и уникальные, отключить удаленный доступ к панели управления из интернета».

На Россию приходится меньшая доля зараженных устройств, однако, как отмечает продакт-менеджер MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Кирилл Левкин, потенциальная опасность для россиян существует, даже если основная масса заражений находится за пределами страны. «Опасность для пользователей заключается не столько в прямой атаке на них, сколько в том, что их оборудование может быть незаметно использовано как инфраструктура для чужих киберопераций», — отмечает Левкин.

KadNap по принципу своей реализации практически ничем не отличается от других ботнет-сетей, таких как Mirai или IoT Reaper, считает ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко. Ключевое отличие — нацеленность на оборудование от конкретного производителя. Однако необходимо учитывать, что большинство современных ботнетов способны адаптироваться и расширять пул поражаемых устройств как прямо, так и косвенно.

«Если с прямым расширением все очевидно и в случае с KadNap это постоянное увеличение числа моделей уязвимых маршрутизаторов ASUS, то косвенное расширение заключается в воздействии на устройства других производителей, пострадавших в результате взаимодействия с зараженными ASUS-маршрутизаторами и получивших от них вредоносное воздействие», — отмечает Федосенко.

Обращает внимание Федосенко и на то, что ASUS, в отличие от, например, Cisco, не ушел с рынка РФ. Устройства по-прежнему в продаже и используются многими компаниями. Как рассказал SecPost источник на рынке сетевого оборудования, доля маршрутизаторов ASUS на рынке весьма невелика.

Это соотносится с данными о статистике по активности ботнета за 2026 год, согласно которой преобладающая часть атакованных устройств находятся в США. Но, как говорит Федосенко, пусть громких случаев массовой атаки KadNap на оборудование российских компаний пока не выявлено, «никто не может гарантировать полную безопасность от скрытого участия в ботнет-сети единичных маршрутизаторов ASUS, находящихся в РФ».

Как рассказали SecPost в пресс-службе Wildberries, продажи маршрутизаторов на маркетплейсе за прошлый год существенно выросли. В натуральном выражении рост составил 43%. Однако подчеркивается, что речь в целом о маршрутизаторах, не только произведенных ASUS.

По оценке эксперта PT ESC TI Positive Technologies Александра Бадаева, в РФ на текущий момент активны более 4 тыс. роутеров Asus, которые потенциально могут быть уязвимы к этому ботнету. В компании также отслеживают DHT-трафик в сети BitTorrent, который используют розличные ботнеты. «Начиная с января 2026 года, мы наблюдаем тысячи подобных запросов, похожих на активность KadNap. Эти запросы выступают своеобразными маркерами и помогают определить заражение ботнетом на ранней стадии», — отмечает Бадаев.