Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem
Domowe i firmowe routery od lat są ulubionymi celami cyberprzestępców, co pokazywały choćby opisywane przez nas kampanie hakerskie AyySSHush czy TheMoon. Nowe odkrycie badaczy z Black Lotus Labs to jednak zupełnie inny kaliber zagrożenia. Botnet KadNap, który od sierpnia 2025 roku rośnie w siłę, nie tylko zainfekował tysiące urządzeń sieciowych, ale zrobił to w sposób, który znacząco utrudnia jego likwidację.
Najnowszy botnet KadNap wykorzystuje zdecentralizowany protokół Kademlia DHT do ukrycia infrastruktury dowodzenia, przez co jest wyjątkowo odporny na tradycyjne metody neutralizacji i zmienia zainfekowane routery w anonimowe węzły sieci proxy.
Hakerzy nie włamują się już do AI, oni go po prostu przekonują. Oto jak działa Sugar-Coated Poison
Specjaliści z Black Lotus Labs (Lumen Technologies) ujawnili szczegóły botnetu KadNap w marcu 2026 roku, choć pierwsze jego ślady wykryli już w sierpniu 2025. Wtedy ilość zainfekowanych urządzeń wynosiła około 10 000. Od tamtej pory wzrosła do 14 000. Atak uderza przede wszystkim w routery firmy ASUS, choć operatorzy botnetu używają tego samego złośliwego oprogramowania przeciwko różnym urządzeniom brzegowym. Niemal połowa infrastruktury dowodzenia (C2) jest dedykowana wyłącznie botom zbudowanym z urządzeń ASUS.
Koniec z prowizorką. Rząd przyjął strategię, która ma zmienić polskie cyberbezpieczeństwo do 2029 roku
Geograficznie dominują Stany Zjednoczone z około 60 proc. ofiar. Mniejsza koncentracja jest na Tajwanie, w Hongkongu, Rosji, Wielkiej Brytanii, Australii, Brazylii, Francji, Włoszech i Hiszpanii. Infekcja przebiega bez użycia zero-day. Atakujący sięgają po znane, ale niezałatane luki. Na router trafia skrypt powłoki aic.sh, który zakłada zadanie cron uruchamiane co 55 minut. Pobiera ono plik wykonywalny ELF (ARM lub MIPS), przemianowuje go na "kad" i uruchamia. Malware blokuje przy tym port 22 (SSH), aby utrudnić zdalne interwencje.
Luka w Gemini Live pozwalała rozszerzeniom Chrome na eskalację uprawnień i dostęp do kamery, mikrofonu i lokalnych plików
To, co odróżnia KadNap od setek poprzednich botnetów, to architektura C2 korzystająca ze zmodyfikowanej implementacji protokołu Kademlia DHT, czyli tej samej technologii, która stoi za sieciami BitTorrent czy IPFS. Zamiast centralizować zarządzanie na jednym lub kilku serwerach, które można łatwo zablokować, każdy zainfekowany węzeł przechowuje fragment informacji o lokalizacji C2. Adres serwera dowodzenia nie jest nigdzie jawnie zapisany. Bot wyznacza go dynamicznie, odpytując inne węzły. Efekt jest taki, że tradycyjne blokowanie adresów IP mija się z celem, gdyż sieć regeneruje się samoczynnie. Na tym jednak nie koniec. Zainfekowane routery trafiają do oferty serwisu proxy Doppelganger (uznawany za rebrand usługi Faceless, wcześniej powiązanej z botnetem TheMoon), który sprzedaje dostęp do przejętych urządzeń jako rezydencyjne proxy do ataków brute-force, credential stuffing czy kampanii DDoS.
Twoja sieć dla gości nie chroni cię tak, jak myślisz. AirSnitch omija szyfrowanie Wi-Fi w urządzeniach Netgear, Cisco i ASUS
Dla właściciela routera ASUS sprawa jest prosta i nieprzyjemna. Jego sprzęt może od miesięcy pracować na rzecz cyberprzestępców, bez żadnego widocznego objawu. Lumen zablokował ruch do infrastruktury C2 w obrębie własnej sieci, ale to tylko częściowa odpowiedź. W porównaniu z poprzednimi botnetami celującymi w ASUSa, jak choćby opisywana przez nas kampania AyySSHush czy TheMoon, KadNap jest trudniejszy do trwałego rozbicia właśnie z powodu zdecentralizowanej architektury. Luka, którą wypełnia ta operacja, pozostaje stara jak sam rynek routerów. Właściciele nie aktualizują firmware'u. Jeśli ta tendencja się nie zmieni, kolejne botnety będą tylko bardziej wyrafinowane.
Powiązane publikacje

Firma Meta obiecała prywatność, a hakerzy dostali zaproszenie. Nowy login WhatsAppa budzi poważne obawy
10
GPT-5.5 Cyber w CERT Polska. OpenAI przyspiesza łatanie luk w administracji publicznej
33
BioShocking obnaża słaby punkt przeglądarek AI. Wystarczy zmienić kontekst, by agent zignorował zabezpieczenia
2
Błąd sprzętowy w układach Apple z serii A12, S4/S5 i A13 uniemożliwia programowe łatanie, otwierając drogę do jailbreaka
39







![Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [1]](/image/news/2026/03/12_twoj_router_asus_moze_pracowac_dla_cyberprzestepcow_14_000_urzadzen_z_niemal_nieusuwalnym_botnetem_5.png)
![Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [2]](/image/news/2026/03/12_twoj_router_asus_moze_pracowac_dla_cyberprzestepcow_14_000_urzadzen_z_niemal_nieusuwalnym_botnetem_1.jpg)
![Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [3]](/image/news/2026/03/12_twoj_router_asus_moze_pracowac_dla_cyberprzestepcow_14_000_urzadzen_z_niemal_nieusuwalnym_botnetem_3.jpg)
![Twój router ASUS może pracować dla cyberprzestępców. 14 000 urządzeń z niemal nieusuwalnym botnetem [4]](/image/news/2026/03/12_twoj_router_asus_moze_pracowac_dla_cyberprzestepcow_14_000_urzadzen_z_niemal_nieusuwalnym_botnetem_0.jpg)





