Het Kimwolf-botnet heeft naar schatting meer dan 2 miljoen Android-apparaten geïnfecteerd. Beveiligingsexperts waarschuwen dat dit schadelijke netwerk zich verspreidt via residential proxy's en apparaten gebruikt voor DDoS-aanvallen. Cloudflare heeft pieken tot 29,7 Tbps geregistreerd. Sinds begin augustus 2025 is het Kimwolf-botnet zeer actief. Beveiligingsbedrijf Synthient schat dat het aantal geïnfecteerde apparaten inmiddels de 2 miljoen heeft overschreden. Het netwerk richt zich vooral op Android-apparaten met een onbeveiligde Android Debug Bridge (ADB). Opvallend is dat de infecties plaatsvinden via residential proxy's. Proxyproviders krijgen het advies om risicovolle poorten te blokkeren en de toegang tot het lokale netwerk te beperken. Gebruikers kunnen via synthient.com/check controleren of ze getroffen zijn. Geïnfecteerde TV-boxes moeten worden gewist of vernietigd. Organisaties moeten verbindingen naar de genoemde C2-servers en -domeinen blokkeren.

Kimwolf is de Android-variant van het Aisuru DDoS-botnet. Het netwerk groeide in enkele maanden tijd naar minimaal 2 miljoen gecompromitteerde apparaten. De snelle groei komt door de nieuwe manier waarop het residential proxynetwerken exploiteert. Cloudflare meldde dat Kimwolf DDoS-aanvallen uitvoert met pieken tot 29,7 Tbps of 14,1 Bpps. De actoren achter het botnet verdienen aan app-installaties, de verkoop van residential proxybandbreedte en DDoS-functionaliteit. Het honeypot-netwerk van Synthient registreerde op 12 november een toename in het targeten van het domein xd[.]resi[.]to vanaf het IPIDEA-proxynetwerk. Dit domein wijst naar 0[.]0[.]0[.]0, wat verwijst naar het apparaat waarop de proxy-SDK draait. Synthient verwacht dat meer dreigingsactoren geïnteresseerd raken in onbeperkte toegang tot proxynetwerken. Het doel is het infecteren van apparaten, verkrijgen van netwerktoegang of toegang tot gevoelige informatie.