殭屍網路KadNap入侵華碩路由器與其他邊緣裝置，提供固定代理伺服器服務供網路罪犯運用

駭客架設殭屍網路綁架物聯網裝置及邊緣設備的情況，不時有事故傳出，其中又以多次發動超大規模DDoS攻擊的Kimwolf和Aisuru最受關注。不過，最近有一個新的殭屍網路出現，主要標的是臺廠的網路設備而成為焦點。

電信公司Lumen旗下的威脅研究團隊Black Lotus指出，他們自2025年8月開始偵測到殭屍網路KadNap的活動，至今已觀察到超過1.4萬臺受感染設備，其中被針對的主要目標是華碩路由器。受害裝置分布於多個國家，其中美國約有六成最多，但Lumen特別提及，臺灣、香港、俄羅斯受害裝置數量居次，各約占5%，若以此比例換算，臺灣約有700臺設備被綁架。

KadNap主要感染路由器等邊緣網路設備，並將其轉換為代理伺服器節點，供犯罪集團轉送惡意流量。這些節點可能被用於發動密碼噴灑、暴力破解、分散式阻斷服務（DDoS）攻擊，以及其他入侵行動，使攻擊流量看起來像是來自一般家用或企業網路。

與多數殭屍網路不同，KadNap採用改造版的Kademlia分散式雜湊表（Distributed Hash Table，DHT）機制，建立點對點（P2P）通訊架構。受感染設備會在BitTorrent網路中搜尋其他節點，從而取得C2資訊。由於相關基礎設施架構分散於P2P網路，使得防禦方難以透過封鎖單一C2伺服器來中斷整體殭屍網路。

KadNap在成功感染受害裝置後，會先取得設備的外部IP位址，並向多個NTP時間伺服器查詢時間資訊，產生特殊雜湊值來尋找其他感染節點。接著，裝置會透過Kademlia DHT機制搜尋同樣遭感染的節點，取得進一步的指令，或下載其他惡意元件。

雖然KadNap使用去中心化的P2P架構，但Lumen仍觀察到受感染裝置在連線至最終C2伺服器前，通常會先接觸兩個固定節點，因此Lumen推測，這些可能是駭客維持控制權的重要基礎設施。

根據進一步調查與網路犯罪生態之間的關聯，KadNap殭屍網路與名為Doppelganger的代理伺服器服務有業務往來。該服務會將受感染設備的IP位址作為固定代理伺服器（Residential Proxy），供犯罪集團隱匿攻擊來源。而對於Doppelganger的來歷，Lumen認為，經營這項服務的人馬過往曾提供名為Faceless的服務。