一種名為 KadNap 的新型殭屍網路惡意軟體正在攻擊華碩 (ASUS) 路由器和其他邊緣網路設備，將其變成惡意流量的代理。自 2025 年 8 月以來，KadNap 已發展到 14,000 台設備，這些設備構成點對點網路，並透過 Kademlia 分散式哈希表 (DHT) 協定的自訂版本連接到命令與控制 (C2) 基礎設施。

由於資訊是分散的，每個節點管理完整資料的一部分，這使得識別和破壞 C2 伺服器變得更加困難。據 Lumen Technologies 旗下威脅研究和營運部門 Black Lotus Labs 的研究人員稱，KadNap 網路近一半連接到專用於基於 ASUS 的殭屍網路的 C2 基礎設施，其餘部分則與兩個獨立的控制伺服器通訊。

大多數受感染的設備位於美國，佔總數的 60%，其次是台灣、香港和俄羅斯，這些地區也佔相當大的比例。

為了規避和抵抗打擊，KadNap 使用修改後的基於 Kademlia 的 DHT 協定來定位殭屍網路節點和 C2 基礎設施。受感染的設備使用 DHT 協定來定位並連接到命令與控制 (C2) 伺服器，而防御者無法輕易找到這些 C2 伺服器並將其添加到威脅列表中。

Black Lotus Labs 的研究人員表示，KadNap 殭屍網路與 Doppelganger 代理服務有關，據信 Doppelganger 是 Faceless 服務的更名版本，Faceless 服務先前與TheMoon 惡意軟體殭屍網路有關，該殭屍網路也曾以華碩路由器為目標。Doppelganger 出售受感染設備的存取權限，這些設備可作為住宅代理，用於引導惡意流量、建立匿名化層和規避黑名單。

Lumen已採取積極措施對抗KadNap殭屍網路。該公司表示，截至本文發佈時，已「封鎖了所有進出控制基礎設施的網路流量」。這次破壞僅限於 Lumen 的網路，我們將發布一份入侵指標列表，以幫助其他人從他們那邊破壞殭屍網路。

資料來源：https://www.bleepingcomputer.com/news/security/new-kadnap-botnet-hijacks-asus-routers-to-fuel-cybercrime-proxy-network/