KadNap: il botnet che ha infettato 14.000 router (principalmente ASUS) e che è quasi impossibile fermare

I ricercatori di Black Lotus Labs, la divisione di threat intelligence di Lumen Technologies, hanno portato alla luce un nuovo e sofisticato botnet denominato KadNap, attivo dall'agosto 2025 e capace di resistere ai tradizionali tentativi di neutralizzazione. La minaccia ha già compromesso oltre 14.000 dispositivi di rete, con una concentrazione particolarmente elevata di router prodotti da ASUS, e il numero è in crescita rispetto ai 10.000 dispositivi infetti registrati al momento della sua scoperta.

Come funziona l'infezione

KadNap si propaga sfruttando vulnerabilità note e non ancora corrette dai proprietari dei dispositivi, senza ricorrere a falle zero-day. L'infezione ha inizio con il download di uno script malevolo denominato aic.sh, recuperato da un server remoto, che installa il client del botnet (un binario ELF chiamato kad) e stabilisce la persistenza tramite un cron job eseguito ogni 55 minuti. La concentrazione di router ASUS può essere riconducibile alla disponibilità nelle mani degli attaccanti di un exploit affidabile per le vulnerabilità che affliggono modelli specifici del produttore taiwanese.

Una volta attivo, il malware determina l'indirizzo IP pubblico del dispositivo e contatta diversi server NTP per sincronizzare l'ora e ottenere l'uptime del sistema. L'elemento che rende KadNap particolarmente insidioso è la sua architettura di comunicazione: il malware utilizza una versione personalizzata del protocollo Kademlia Distributed Hash Table (DHT), normalmente impiegato nelle reti peer-to-peer, per nascondere gli indirizzi IP dei server di comando e controllo all'interno di una rete distribuita. Questo approccio impedisce ai difensori di identificare facilmente i C2 e inserirli nelle blocklist.

Il tallone d'Achille della rete Kademlia

Nonostante la sofisticazione del sistema, i ricercatori di Black Lotus Labs hanno individuato un punto debole nell'implementazione di Kademlia adottata da KadNap. Prima di raggiungere i server C2, i dispositivi infetti si connettono sistematicamente a due nodi specifici e fissi, riducendo di fatto il grado di decentralizzazione che il protocollo potrebbe garantire. Questa anomalia ha permesso ai ricercatori di risalire all'infrastruttura di controllo e, al momento della pubblicazione, Lumen ha dichiarato di aver bloccato tutto il traffico di rete da e verso l'infrastruttura di comando e controllo, almeno sulla propria rete. Gli indicatori di compromissione (IoC) vengono parallelamente distribuiti ai feed pubblici per consentire ad altri operatori di adottare misure analoghe.

Un proxy per il crimine informatico

I dispositivi compromessi vengono arruolati in una rete di proxy residenziali collegata al servizio Doppelganger, ritenuto un rebranding del precedente servizio Faceless, già associato al botnet TheMoon che prendeva di mira i router ASUS. Tramite questo servizio, i cybercriminali acquistano l'accesso ai dispositivi infetti per anonimizzare il proprio traffico e aggirare le blocklist, alimentando attività come attacchi DDoS, credential stuffing e brute-force. La distribuzione geografica dei dispositivi infetti vede gli Stati Uniti in testa con circa il 60% del totale, seguiti da Taiwan, Hong Kong e Russia.

Come verificare e proteggere il proprio router

Per i proprietari di router ASUS che temono un'infezione, Black Lotus Labs ha reso disponibile una pagina con gli indirizzi IP e gli hash dei file da cercare nei log del dispositivo. La semplice procedura di riavvio non è sufficiente per eliminare KadNap, poiché il malware installa uno script shell che si riesegue automaticamente a ogni boot: è necessario eseguire un ripristino completo ai dati di fabbrica. Successivamente, è indispensabile installare tutti gli aggiornamenti firmware disponibili, impostare password amministrative robuste e disabilitare l'accesso remoto al pannello di gestione, se non strettamente necessario.