شكّل شبكة كيم وولف الروبوتية تهديداً كبيراً في مجال الأمن السيبراني، حيث تمكنت من اختراق ما يقارب 1.8 مليون جهاز يعمل بنظام أندرويد حول العالم، بما في ذلك أجهزة التلفزيون الذكية، وأجهزة الاستقبال، والأجهزة اللوحية، وأنظمة أخرى تعتمد على نظام أندرويد.
اكتشف باحثون أمنيون هذه الشبكة الروبوتية عندما تلقت جهة مجتمعية شريكة عينة أولية في أكتوبر 2025، والتي كانت تستخدم نطاق قيادة وتحكم يحتل المرتبة الثانية في تصنيفات شعبية النطاقات العالمية لشبكة Cloudflare.
يمتد انتشار الشبكة الروبوتية عبر 222 دولة ومنطقة، حيث تتركز أعلى نسبة من الأجهزة المخترقة في البرازيل (14.63%)، الهند (12.71%)، والولايات المتحدة (9.58%).
تتوزع الأجهزة المخترقة عبر مناطق زمنية متعددة حول العالم، مما يجعل الرصد الشامل تحدياً كبيراً، وهو ما يعكس حجم العملية وقدرة المهاجمين على بناء وصيانة بنية تحتية شبكية ضخمة قادرة على شن هجمات سيبرانية مدمرة على نطاق عالمي.
شبكة كيم وولف الروبوتية: تقنيات متقدمة
وصف محللو Xlab Qianxin، شبكة كيم وولف بأنها شبكة روبوتية متطورة للغاية، تم تجميعها باستخدام Android NDK. تتضمن هذه الشبكة قدرات هجوم الحرمان من الخدمة الموزعة (DDoS) النموذجية، بالإضافة إلى وظائف إعادة توجيه البروكسي، والأوامر الشل العكسي، وإدارة الملفات.
تستخدم البرمجيات الخبيثة هذه تقنيات تهرب متقدمة نادراً ما تلاحظ في التهديدات المماثلة. من بين هذه التقنيات استخدام بروتوكول DNS over TLS (DoT) لتجاوز أنظمة الكشف الأمنية التقليدية، وحماية التوقيع الرقمي القائمة على المنحنيات الإهليلجية للتحقق من الأوامر.
آلية الاختراق
تكشف آلية الاختراق عن تفاصيل تقنية مثيرة للاهتمام حول كيفية استمرار شبكة كيم وولف في الأجهزة المخترقة. تعمل البرمجيات الخبيثة من خلال ملف APK يستخرج وينفذ حمولة ثنائية أصلية متنكرة كخدمات نظام شرعية.
عند التنفيذ، يقوم بإنشاء مقبس نطاق يونكس يحمل اسم إصدار الشبكة الروبوتية لضمان تشغيل نسخة واحدة فقط في كل جهاز في نفس الوقت.
بعد ذلك، تقوم البرمجيات الخبيثة بفك تشفير نطاقات القيادة والتحكم المضمنة، وتستخدم بروتوكول DoT للاستعلام من خوادم DNS العامة على المنفذ 853 للحصول على عناوين IP حقيقية لمركز القيادة والتحكم، وبالتالي إخفاء أنماط اتصالاتها من أدوات مراقبة الشبكة.
لفك تشفير البيانات الحساسة، بما في ذلك عناوين مركز القيادة والتحكم، تستخدم شبكة كيم وولف عمليات Stack XOR على السلاسل المشفرة. نجح الباحثون في أتمتة عملية فك التشفير باستخدام تقنيات المحاكاة، وكشفوا عن العديد من نطاقات القيادة والتحكم المخفية المضمنة في الملف الثنائي.
يستخدم الاتصال الشبكي للبرمجيات الخبيثة دائماً تشفير TLS مع تنسيق ثابت لرأس البيانات (Header Body) يحتوي على قيم سحرية، وأنواع رسائل، ومعرفات، ومجموعات تحقق CRC32.
يترابط الاتصال بين البوتات المخترقة والبنية التحتية لمركز القيادة والتحكم عبر آلية مصافحة متطورة من ثلاث مراحل تشمل التسجيل، والتحقق، والتأكيد. تنفذ مرحلة التحقق خوارزميات التوقيع الرقمي للمنحنيات الإهليلجية، مما يضمن تنفيذ الأوامر المصادق عليها فقط من خوادم مركز القيادة والتحكم الشرعية. تم تصميم هذا الإجراء الأمني خصيصًا لمنع الإيقاف غير المصرح به للبنية التحتية للشبكة الروبوتية.
هجمات شبكة كيم وولف
بين 19 و22 نوفمبر، أظهرت شبكة كيم وولف قدراتها العدوانية من خلال إصدار 1.7 مليار أمر لهجوم الحرمان من الخدمة الموزعة (DDoS) مستهدفة عناوين IP متنوعة عالمياً.
تدعم الشبكة الروبوتية 13 طريقة مختلفة لهجمات DDoS، بما في ذلك هجمات UDP، وهجمات TCP SYN Floods، وهجمات SSL socket، مما يوفر للمهاجمين خيارات متعددة لسيناريوهات الاستهداف المختلفة.