KadNap: nuova botnet che infetta i router ASUS
Topic
Approfondimenti
Trending
tutti

KadNap: nuova botnet che infetta i router ASUS

KadNap è una nuova botnet formata principalmente da router ASUS che vengono controllati da remoto tramite il noto protocollo Kademlia.
KadNap: nuova botnet che infetta i router ASUS
Sicurezza
KadNap è una nuova botnet formata principalmente da router ASUS che vengono controllati da remoto tramite il noto protocollo Kademlia.
Bleeping Computer

I ricercatori dei Black Lotus Labs (Lumen Technologies) hanno scoperto una nuova botnet, denominata KadNap, formata da circa 14.000 router. Oltre 10.000 di essi sono router ASUS, quindi è molto probabile che i cybercriminali sfruttino vulnerabilità dei dispositivi. Recentemente, gli esperti dell’azienda statunitense ha fornito supporto per smantellare il servizio SocksEscort.

Infrastruttura di rete basata sul protocollo Kademlia

KadNap è stata scoperta nel mese di agosto 2025. Da allora il numero di router infettato è aumentato da circa 10.000 a circa 14.000 al giorno in media. La maggioranza di essi (60%) si trova negli Stati Uniti. In numero molto minore sono presenti anche in Italia. Oltre la metà sono router ASUS di utenti che non hanno istallato i firmware più recenti.

Una delle peculiarità della botnet è l’uso di una versione custom del protocollo Kademlia per la connessione dei router all’infrastruttura C2 (command and control). Si tratta del protocollo di rete peer-to-peer basato sulla tecnologia Distributed Hash Table (DHT) e sfruttato da molti software di file sharing.

L’infezione inizia con il download di uno script che stabilisce la persistenza tramite cron job e installa il client KadNap sul router. Il malware rileva quindi l’indirizzo IP esterno dell’host e contatta diversi server NTP (Network Time Protocol) per ottenere l’ora corrente e il tempo di attività del sistema.

A questo punto viene attivata la comunicazione con i server C2 tramite Kademlia. La versione custom del protocollo DHT permette di nascondere i nodi della botnet (i router infettati) e l’infrastruttura di controllo remoto all’interno del sistema peer-to-peer. Ciò consente di evitare la rilevazione con tool di monitoraggio del traffico.

In una vera rete Kademlia, il peer finale cambia nel tempo. I ricercatori sono riusciti ad individuare e bloccare il traffico perché due nodi finali prima di raggiungere i server C2 erano sempre gli stessi. Questo punto debole ha ridotto la decentralizzazione e consentito di identificare l’infrastruttura di controllo.

Gli utenti devono utilizzare password robuste, disattivare l’accesso remoto e installare gli ultimi firmware disponibili. Se il router è troppo vecchio sarebbe meglio sostituirlo con un modello recente.

Fonte: Bleeping Computer

Pubblicato il 13 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

SocksEscort: smantellato proxy con malware Linux

SocksEscort: smantellato proxy con malware Linux
Zombie ZIP, il trucco che rende i malware invisibili agli antivirus

Zombie ZIP, il trucco che rende i malware invisibili agli antivirus
Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando

Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando
Chat Control: proroga fino ad agosto 2027 con limitazioni

Chat Control: proroga fino ad agosto 2027 con limitazioni
SocksEscort: smantellato proxy con malware Linux

SocksEscort: smantellato proxy con malware Linux
Zombie ZIP, il trucco che rende i malware invisibili agli antivirus

Zombie ZIP, il trucco che rende i malware invisibili agli antivirus
Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando

Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando
Chat Control: proroga fino ad agosto 2027 con limitazioni

Chat Control: proroga fino ad agosto 2027 con limitazioni
Luca Colantuoni
Pubblicato il
13 mar 2026
Link copiato negli appunti