Botnet KadNap Baru Membajak Router ASUS untuk Jaringan Proxy Kejahatan Siber

Sebuah botnet baru bernama KadNap ditemukan menargetkan router ASUS serta perangkat jaringan edge lainnya untuk dijadikan bagian dari jaringan proxy yang digunakan dalam aktivitas kejahatan siber.

Menurut laporan peneliti keamanan dari Black Lotus Labs, unit riset ancaman milik Lumen Technologies, sejak Agustus 2025 jaringan botnet ini telah berkembang hingga menginfeksi sekitar 14.000 perangkat di seluruh dunia.

Perangkat yang terinfeksi menjadi bagian dari jaringan peer-to-peer (P2P) yang terhubung dengan infrastruktur command-and-control (C2) menggunakan versi khusus dari protokol Kademlia Distributed Hash Table (DHT).

Pendekatan ini membuat identifikasi serta upaya penghentian server kendali menjadi lebih sulit karena data jaringan didistribusikan secara terdesentralisasi, di mana setiap node hanya menyimpan sebagian informasi jaringan.

Mayoritas Perangkat Terinfeksi Berasal dari AS

Peneliti menemukan bahwa hampir setengah dari jaringan KadNap terhubung dengan infrastruktur C2 yang khusus menangani bot berbasis router ASUS. Sementara itu, perangkat lainnya berkomunikasi dengan dua server kontrol terpisah.

Dari sisi geografis, sebagian besar perangkat yang terinfeksi berada di Amerika Serikat, yang menyumbang sekitar 60% dari total korban. Negara lain yang juga mencatat jumlah infeksi cukup signifikan antara lain Taiwan, Hong Kong, dan Rusia.

Proses Infeksi Melalui Script Berbahaya

Infeksi KadNap dimulai ketika perangkat mengunduh skrip berbahaya bernama aic.sh dari server jarak jauh.

Skrip ini kemudian membuat mekanisme persistence dengan menambahkan tugas terjadwal melalui cron job yang dijalankan setiap 55 menit.

Payload utama berupa file biner ELF bernama kad yang bertugas menginstal klien botnet KadNap pada perangkat korban.

Setelah aktif, malware akan:

• Menentukan alamat IP eksternal perangkat
• Menghubungi beberapa server Network Time Protocol (NTP) untuk memperoleh waktu sistem
• Mengumpulkan informasi uptime perangkat

Langkah-langkah ini membantu malware mengatur sinkronisasi operasi dalam jaringan botnet.

Menggunakan Protokol Kademlia untuk Menyembunyikan Infrastruktur

Untuk menghindari deteksi dan upaya penutupan jaringan, KadNap memanfaatkan implementasi khusus dari protokol Kademlia DHT.

Melalui mekanisme ini, perangkat yang terinfeksi dapat menemukan node lain dalam jaringan serta server C2 tanpa harus menyimpan alamat IP secara langsung dalam sistem.

Teknik tersebut membuat pemantauan jaringan menjadi jauh lebih sulit karena alamat server kendali tersembunyi dalam sistem peer-to-peer.

Namun peneliti menemukan bahwa implementasi Kademlia yang digunakan KadNap memiliki kelemahan. Malware selalu terhubung terlebih dahulu ke dua node tertentu sebelum menemukan server C2.

Konsistensi ini mengurangi tingkat desentralisasi jaringan dan memungkinkan peneliti melacak sebagian infrastruktur kendali botnet.

Digunakan untuk Layanan Proxy Kriminal

Peneliti juga menemukan bahwa botnet KadNap berkaitan dengan layanan proxy bernama Doppelganger.

Layanan ini diduga merupakan versi baru dari layanan Faceless, yang sebelumnya dikaitkan dengan botnet malware TheMoon yang juga menargetkan router ASUS.

Doppelganger menjual akses ke perangkat yang telah diretas sebagai proxy residensial, sehingga pelaku kejahatan siber dapat:

• Menyembunyikan identitas asli lalu lintas internet
• Melewati sistem blokir atau daftar hitam
• Membuat lapisan anonimisasi tambahan

Proxy semacam ini sering digunakan dalam berbagai aktivitas kriminal seperti serangan DDoS, credential stuffing, dan brute-force attack.

Upaya Pemutusan Infrastruktur Botnet

Sebagai respons terhadap ancaman tersebut, Lumen telah mengambil langkah untuk mengganggu operasi botnet KadNap.

Perusahaan menyatakan telah memblokir seluruh lalu lintas jaringan menuju dan dari infrastruktur kontrol botnet pada jaringan mereka.

Meski demikian, tindakan tersebut hanya berlaku di jaringan Lumen. Untuk membantu organisasi lain menghentikan aktivitas botnet, peneliti juga berencana merilis daftar indikator kompromi (IoC) yang dapat digunakan untuk mendeteksi dan memblokir KadNap di jaringan mereka.