KadNapマルウェア、14,000台超のエッジデバイスを感染させステルスプロキシボットネット構築

この記事は約7分で読めます。

KadNapマルウェア:Asusルーター中心に約14,000台のエッジデバイスをP2Pボットネット化

本稿では、Lumen Technologies傘下のBlack Lotus Labsが2026年3月10日に公開した新型マルウェア「KadNap」について解説する。KadNapはAsusルーターを主な標的とし、Kademliaベースの分散ハッシュテーブル(DHT)を応用したP2P型C2通信で日次平均約14,000台のデバイスをボットネットに組み込んでいる。感染デバイスは犯罪者向けプロキシサービス「Doppelgänger」を通じて販売されており、SOHOルーターの管理者だけでなく、住宅向けIPを前提に防御設計している企業側にも無視できない脅威です。

KadNapの概要と発見経緯

KadNapは2025年8月にBlack Lotus Labsのアルゴリズムによって検出されたマルウェアです。同チームが10,000台以上のAsusデバイスが特定のサーバー群と通信していることを捉えたのが発端で、調査の結果、C2サーバー(212.104.141[.]140)からダウンロードされるシェルスクリプト「aic.sh」が感染の起点であることが判明しました。

2026年3月時点で、感染デバイスは日次平均約14,000台に達しており、被害の60%以上が米国に集中しています。台湾、香港、ロシアがそれぞれ約5%で続き、Lumenが公開した分布図上では欧州、アジア、オーストラリア、南米の一部にも活動が確認されています。

攻撃チェーンの詳細

感染は、C2サーバーからシェルスクリプト「aic.sh」をダウンロードすることから始まります。毎時55分にスクリプトを再取得するcronジョブが作成され、「.asusrouter」にリネームして実行されます。その後、悪意あるELFバイナリが取得され「kad」というファイル名で起動します。KadNapの名称はこのファイル名に由来すると考えられます。

バイナリは実行されると、標準入出力を/dev/nullにリダイレクトして外部IPアドレスを取得し、NTPサーバーと同期してKademlia DHTネットワーク用のハッシュを生成します。生成されたハッシュをもとにP2Pネットワーク上で他のピアを探索し、C2サーバーへの接続経路を確立します。

ピアとの接続確立後、2つのファイルが配信されます。1つ目の「fwr.sh」はファイアウォールルールを変更し、ポート22(SSH)への着信TCPトラフィックを遮断します。管理者がSSHでデバイスにアクセスできなくなるため、感染の発見と除去が困難になります。2つ目の「/tmp/.sose」にはC2のIPアドレスとポートの組み合わせリストが格納されており、ボットネットへの本格的な参加に使用されます。

Black Lotus Labsの分析では、ARM・MIPS両アーキテクチャ向けのサンプルが確認されており、Asusルーター以外のエッジデバイスにも展開されていることが示されています。また、すべての感染デバイスが全C2サーバーと通信するわけではなく、デバイスの種類やモデルに基づいてインフラが区分されています。

Kademlia DHTを利用したC2隠蔽の仕組み

KadNapの技術的な特徴は、P2Pファイル共有で広く使われるKademlia DHTのカスタム実装をC2通信に転用している点です。

Kademliaは、BitTorrentなどで知られる分散探索の仕組みです。各ノードがネットワーク全体の情報を保持する必要がなく、「より近い」ノードへクエリを転送することで効率的に目的の情報に到達します。

KadNapはこの仕組みを悪用し、C2サーバーのIPアドレスをP2Pネットワーク内に埋め込むことで、防御側がC2をブロックリストに追加することを困難にしています。感染デバイスは正規のP2Pトラフィックに紛れる形でC2と通信するため、従来のネットワーク監視では検知が難しい構造です。

ただし、Black Lotus Labsの分析により、このカスタム実装には弱点が存在することも判明しています。真正なKademliaネットワークでは最終ピアは時間とともに変化しますが、KadNapでは2025年8月以降、C2サーバーに到達する直前の最終ホップが常に同じ2つのノード(45.135.180[.]38 および 45.135.180[.]177)を経由していました。これは攻撃者がネットワーク制御を維持するために固定ノードを運用していることを意味し、防御側にとっては検知の手がかりとなります。

Doppelgängerプロキシサービスと「Faceless」との関連

感染デバイスは「Doppelgänger」(doppelganger[.]shop)という名称のプロキシサービスを通じて販売されています。同サービスのサイト上では50カ国以上のレジデンシャルプロキシを提供し「100%の匿名性」を保証すると主張しています。

Black Lotus Labsは調査パートナーのSpur社との連携により、KadNapのC2サーバーがDoppelgängerのエントリポイントであることを特定しました。さらに、ボットネットの構造から、DoppelgängerはかつてTheMoonマルウェアのボットネットに紐づいていた「Faceless」プロキシサービスのリブランドとみられると評価しています。

Facelessは、2024年にBlack Lotus Labsが報告したTheMoonマルウェアと密接に関連していたプロキシサービスです。TheMoonも同様にAsusルーターを主な標的としており、2024年3月初旬には72時間足らずで6,000台超のAsusルーターを標的にしたキャンペーンが確認されていました。FacelessはKYC(本人確認)プロセスを持たず暗号通貨のみで決済を受け付けるなど、犯罪利用に特化した設計でした。Black Lotus Labsは当時、TheMoonがFacelessの唯一のボット供給源であると高い確度で評価していました。

TheMoon/Facelessの構図に似た新しい組み合わせとして、KadNap/Doppelgängerが現れている可能性をこのレポートは示しています。攻撃手法の面では、従来型のC2通信からP2P型C2への移行が両者の大きな違いです。

実務上の影響と対策

KadNapへの対策において実務上ボトルネックとなるのは、従来のIPベースの防御が通用しにくい点です。感染デバイスのIPアドレスは正規ISPの住宅用アドレスであるため、ジオフェンシングやASNベースのブロックをすり抜けます。住宅IPだから安全とはみなせない状況が広がっており、単純なIPベースの制御だけでは不十分です。企業のWebアプリケーションに対するブルートフォース攻撃やクレデンシャルスタッフィングが一見正常な住宅IPから飛んでくるため、WAFやレート制限の設計を見直す契機になります。

SOHOルーター管理者が点検したいポイントは以下の通りです。ファームウェアが最新かどうかの確認、デフォルトパスワードの変更、管理インターフェースのインターネット公開停止、そしてEoL(サポート終了)デバイスの交換です。特にEoLデバイスの扱いは現場で最も摩擦が大きい。メーカーサポートが終了したルーターは脆弱性が修正されないまま放置され、KadNapのような標的になりやすくなります。しかし、動作に問題がなければ交換の予算確保は後回しにされがちです。

ネットワーク監視の観点では、SOHOルーターが公開BitTorrentトラッカーに接続していないか、KadNapの既知ピアとの通信がないかを確認することが有効です。KadNapの実装上の弱点(固定の最終ホップノード)は検知のヒントになりますが、P2P型C2の性質上、攻撃者がノードを切り替えればこの指標は無効化される可能性がある点には留意が必要です。

Lumenは本レポート公開時点で、自社のグローバルネットワーク上でKadNapのC2インフラとの通信を全面遮断済みです。IoCはGitHubページで公開されており、他の組織でも遮断措置を講じることができます。

参考情報

コメント

タイトルとURLをコピーしました