Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Lumen Ekimden Bu Yana 500’den Fazla Komuta ve Kontrol Sunucusunu Tespit Etti
Greg Sirico •
16 Ocak 2026
ABD’nin önde gelen bir internet servis sağlayıcısı, son dört ay içinde tespit edilen ve Kimwolf ve Aisuru botnet’lerini yöneten 550’den fazla komuta ve kontrol sunucusu botnet’lerine gelen trafiği engellediğini söyledi.
Ayrıca bakınız: MDR Yönetici Raporu
Siber güvenlik girişimi Synthient’in bu yılın başlarında yaptığı araştırmaya göre, Kimwolf, zaten güvenliği ihlal edilmiş Android TV üst kutularının hacklenmesiyle başlayan yeni bir teknikle en az 2 milyon cihazı kapsayacak şekilde büyüdü.
Kimwolf operatörleri, diğer kötü aktörlerin, cihazları yerleşik proxy’lere dönüştüren kötü amaçlı yazılımla önceden yüklediği savunmasız Android işletim sistemi cihazlarını tarıyor. Bilgisayar korsanları, kötü amaçlı etkinlikleri banliyö TV’sinden kaynaklanan sıradan internet trafiğine benzeyecek şekilde yönlendirebildikleri için konut proxy’lerine değer veriyor. Kusur operatörleri açıkta kalan bir Android Hata Ayıklama Köprüsü hizmetini tarar. ADB, geliştiricilerin cihazlara uzaktan erişmesine olanak tanıyan bir komut satırı aracıdır.
Kimwolf, Aisuru botnetinin devamı niteliğindedir. Bağımsız siber güvenlik muhabiri Brian Krebs’in vurguladığı bir blog yazısında Çinli siber güvenlik firması Xlab, geçen Aralık ayında bu ikisinin neredeyse kesin olarak aynı siber suç grubu tarafından işletildiği sonucuna vardı.
Black Lotus Labs, “Kısa bir süre içinde günlük ortalama bot sayısı 50.000’den 200.000’e çıktı” diye yazdı. Synthient analizi, Kimwolf’un alışılmadık bir özelliği nedeniyle hızla yayılabileceğini buldu. Yalnızca tek bir kötü amaçlı Android cihazını kendi botnet’ine sokmak yerine, aynı yerel ağdaki diğer cihazları keşfetmek ve bunlardan yararlanmak için alan adı sistem ayarlarından yararlanıyor. Yerleşik proxy işlevi gören bir Android cihazı, botlara dönüşen çok sayıda cihaza açılan bir kapıdır.
Synthient, Kimwolf operatörlerinin proxy bant genişliğini yeniden sattığını ve dağıtılmış hizmet reddi saldırıları başlatmak için botnet’lere erişim sattığını gözlemledi. Black Lotus Labs, “Ekim ayı başlarında, Kimwolf’a eklenen yeni botların sayısında yedi günlük bir süre içinde %300’lük bir artış gözlemledik; bu, ay ortasına kadar toplam 800.000 bota ulaşan bir artışın başlangıcıydı. Bu artıştaki botların neredeyse tamamı, tek bir konut proxy hizmetinde satış için listelenmiş halde bulundu.” dedi.
Black Lotus Labs, Aisuru arka uç C2 sunucularının şu ifadeyi içerdiklerini fark ettikten sonra tanımlamaya başladı: 14emeliaterracewestroxburyma02132.su onların içinde. Xlab’ın gözlemine göre, Ekim ayında bir noktada, bu tabire sahip bir alan adı, Cloudflare tarafından tutulan alan adı sıralamasında Google.com’u geride bıraktı.
Ağ güvenliği firması Infoblox Çarşamba günü yaptığı açıklamada, bulut müşterilerinin taranması sonucunda dörtte birinin 1 Ekim’den bu yana bilinen bir Kimwolf alanına sorgu yaptığını tespit ettiğini söyledi. Şirket, “Açık olmak gerekirse, bu, müşterilerin yaklaşık %25’inin Kimwolf operatörleri tarafından hedeflenen bir konut proxy hizmetinde uç nokta olan en az bir cihaza sahip olduğunu gösteriyor” diye yazdı.
20 Ekim ile 6 Kasım 2025 tarihleri arasında Kimwolf’un C2 altyapısı, mevcut PYPROXY ve diğer savunmasız cihaz bağlantılarını taradı. Buna karşılık, virüs bulaşan 2 milyon Android cihazın IP adresleri kamuya açıklandı.
Tipik olarak tehdit aktörleri tarafından çevrimiçi olarak kiralanmak üzere listelenen bu IP adresleri, daha sonra diğer savunmasız ağlarda yayılmayı daha da etkinleştirmek için virüslü düğüm kullanılarak erişim için kiralanır.
Siber güvenlik şirketleri ve FBI, ister bozulmuş bir tedarik zinciri yoluyla ister üreticilerin göz yumması yoluyla olsun, esas olarak Çin’de üretilen etiket dışı dijital cihazlar aracılığıyla yayılmaya devam etmelerine rağmen, konut vekillerini çökertme çabalarını hızlandırdı (bkz.: FBI, Çin Cihazlarında BADBOX 2.0 Botnet Dalgalanması Konusunda Uyardı).