La minaccia nota come KadNap è emersa pubblicamente ad agosto 2026 e da allora ha interessato migliaia di dispositivi di rete. I ricercatori di Black Lotus Labs (Lumen Technologies) hanno contato una diffusione che ha superato le 14.000 unità, con una netta prevalenza di router ASUS. Questo articolo ricostruisce in modo chiaro e operativo come la botnet si insedia, quali tecnologie usa per camuffare l’infrastruttura di controllo e quali sono le azioni pratiche consigliate agli utenti per ridurre il rischio.
Oltre ai numeri e alla geografia dell’infezione (circa il 60% dei dispositivi si trova negli Stati Uniti), è importante capire le tecniche impiegate. KadNap non sembra basarsi su exploit zero-day ma su falle già note e su configurazioni non aggiornate: la catena tipica include lo scaricamento di uno script malevolo che garantisce persistenza e l’installazione di un client binario.
In parallelo, Lumen ha fornito supporto operativo per smantellare servizi legati al traffico anonimo come SocksEscort, segnalando correlazioni con servizi di proxy criminali.
Come funziona KadNap
L’infezione parte con il recupero di uno script remoto che crea persistenza sul dispositivo, tipicamente tramite un cron job che si esegue periodicamente, e installa un client ELF chiamato kad. Il malware poi determina l’indirizzo IP pubblico del router e interroga server NTP per sincronizzare l’ora e leggere l’uptime del sistema. Successivamente avvia la comunicazione con la rete di controllo usando una versione personalizzata del protocollo Kademlia, una Distributed Hash Table (DHT) che nelle implementazioni legittime facilita lo scambio peer-to-peer. In KadNap questa DHT è stata adattata per celare i nodi di comando e controllo all’interno della rete distribuita.
Fasi dell’infezione e persistenza
La sequenza osservata include: download dello script malevolo, installazione del binario del bot, creazione di un cron job con esecuzione ricorrente e contatti con server NTP. Una semplice riaccensione del router non basta poiché lo script si riattiva ad ogni boot; per rimuovere completamente l’agente è spesso necessario un ripristino alle impostazioni di fabbrica, seguito dall’applicazione dell’ultima versione del firmware. I dispositivi più vecchi o non aggiornati rimangono i target preferiti, motivo per cui la prevalenza su modelli ASUS non è casuale ma legata a exploit noti sfruttabili con affidabilità dagli attaccanti.
Architettura della rete e punti deboli
La caratteristica più innovativa di KadNap è l’uso di una DHT Kademlia personalizzata per orchestrare il command and control.
Inserendo i server C2 all’interno di una struttura peer-to-peer, gli operatori cercano di impedire l’identificazione e il blocco dei nodi tramite blocklist tradizionali. Questo rende la rete resiliente e difficile da contrastare con strumenti convenzionali di monitoraggio del traffico. Tuttavia, l’implementazione mostra una debolezza: prima di raggiungere i C2 finali, gli host infetti passano sempre attraverso due nodi fissi, una anomalia che riduce la reale decentralizzazione e ha permesso ai ricercatori di tracciare parte dell’infrastruttura.
Proxy criminali e servizi connessi
I router compromessi vengono spesso offerti come proxy residenziali in servizi che monetizzano l’accesso non autorizzato ai dispositivi. Tra le filiazioni rilevate figurano piattaforme riconducibili al rebranding di soluzioni precedenti come Faceless e servizi denominati Doppelganger, collegati ad attività di DDoS, credential stuffing e altre forme di abuso.
La disponibilità di questi proxy consente agli attaccanti di anonimizzare il traffico e aggirare molte protezioni basate su geoblocking o blocklist statiche, alimentando così un mercato illecitamente remunerativo.
Cosa fare per proteggere il router
Per ridurre la probabilità di infezione è fondamentale seguire alcune regole pratiche: installare tempestivamente gli aggiornamenti del firmware, impostare password amministrative complesse, disattivare l’accesso remoto al pannello di gestione se non indispensabile e controllare i log alla ricerca di indicatori di compromissione (IoC) segnalati da fonti di threat intelligence come Black Lotus Labs. In caso di sospetto di compromissione, è consigliato un ripristino completo alle impostazioni di fabbrica prima di reinstallare aggiornamenti e cambiare credenziali. Se il dispositivo è obsoleto, val la pena considerare la sua sostituzione con un modello supportato.
