Seit einer Woche stört **Kimwolf**, ein riesiges "Internet of Things" (IoT) Botnetz, **The Invisible Internet Project (I2P)**, ein dezentrales, verschlüsseltes Kommunikationsnetzwerk, das darauf ausgelegt ist, Online-Kommunikation zu anonymisieren und zu sichern. I2P-Nutzer begannen, Störungen zu melden, etwa zur gleichen Zeit, als die Kimwolf-Botmaster begannen, sich darauf zu verlassen, um Takedown-Versuche gegen die Kontrollserver des Botnetzes zu umgehen. Kimwolf ist ein Botnetz, das Ende 2025 auftauchte und schnell Millionen von Systemen infizierte, indem es schlecht gesicherte IoT-Geräte wie TV-Streaming-Boxen, digitale Bilderrahmen und Router in Relais für bösartigen Datenverkehr und ungewöhnlich große Distributed Denial-of-Service (DDoS)-Angriffe verwandelte. I2P ist ein dezentrales, auf Privatsphäre ausgerichtetes Netzwerk, das es Menschen ermöglicht, anonym zu kommunizieren und Informationen auszutauschen. "Es funktioniert, indem Daten über mehrere verschlüsselte Ebenen über von Freiwilligen betriebene Knoten geleitet werden, wodurch sowohl der Standort des Absenders als auch des Empfängers verborgen wird", erklärt die I2P-Website. "Das Ergebnis ist ein sicheres, zensurresistentes Netzwerk, das für private Websites, Messaging und Datenaustausch entwickelt wurde." ### I2P-Störung Am 3. Februar begannen I2P-Nutzer auf der **GitHub**-Seite der Organisation zu beklagen, dass Zehntausende von Routern das Netzwerk plötzlich überlasteten und bestehende Nutzer daran hinderten, mit legitimen Knoten zu kommunizieren. Nutzer berichteten über eine schnell steigende Anzahl neuer Router, die dem Netzwerk beitraten und keine Daten übertragen konnten, und dass der Massenansturm neuer Systeme das Netzwerk so überlastet hatte, dass Nutzer keine Verbindung mehr herstellen konnten.  *I2P-Nutzer beschweren sich über Serviceunterbrechungen durch eine schnell steigende Anzahl von Routern, die das Netzwerk plötzlich überfluten.* Als ein I2P-Nutzer fragte, ob das Netzwerk angegriffen werde, antwortete ein anderer Nutzer: "Sieht so aus. Mein physischer Router friert ein, wenn die Anzahl der Verbindungen 60.000 übersteigt."  *Ein von I2P-Entwicklern geteilter Graph, der einen deutlichen Rückgang erfolgreicher Verbindungen im I2P-Netzwerk zeigt, etwa zu der Zeit, als das Kimwolf-Botnetz versuchte, das Netzwerk für Fallback-Kommunikation zu nutzen.* ### Kimwolfs Rolle Am selben Tag, an dem I2P-Nutzer die Ausfälle bemerkten, posteten die für Kimwolf Verantwortlichen in ihrem **Discord**-Kanal, dass sie I2P versehentlich gestört hätten, nachdem sie versucht hatten, 700.000 mit Kimwolf infizierte Bots als Knoten im Netzwerk einzubinden.  *Der Kimwolf-Botmaster diskutiert offen, was er mit dem Botnetz in einem Discord-Kanal tut.* Obwohl Kimwolf als wirkungsvolle Waffe für DDoS-Angriffe bekannt ist, sind die diese Woche durch einen Teil des Botnetzes verursachten Ausfälle, die versuchten, I2P beizutreten, das, was als "**Sybil-Angriff**" bekannt ist, eine Bedrohung in Peer-to-Peer-Netzwerken, bei der eine einzelne Entität das System stören kann, indem sie eine große Anzahl gefälschter, pseudonymisierter Identitäten erstellt, kontrolliert und betreibt. Tatsächlich war die Anzahl der mit Kimwolf infizierten Router, die diese Woche versuchten, I2P beizutreten, um ein Vielfaches größer als die normale Größe des Netzwerks. Die **Wikipedia**-Seite von I2P besagt, dass das Netzwerk aus etwa 55.000 Computern auf der ganzen Welt besteht, wobei jeder Teilnehmer sowohl als Router (zum Weiterleiten von Datenverkehr) als auch als Client fungiert. **Lance James**, Gründer der in New York City ansässigen Cybersicherheitsberatung **Unit 221B** und ursprünglicher Gründer von I2P, sagte gegenüber KrebsOnSecurity jedoch, dass das gesamte I2P-Netzwerk an einem gegebenen Tag aus etwa 15.000 bis 20.000 Geräten besteht.  *Ein I2P-Nutzer postete am 10. Februar diesen Graphen, der Zehntausende von Routern – meist aus den Vereinigten Staaten – zeigt, die plötzlich versuchen, dem Netzwerk beizutreten.* **Benjamin Brundage**, Gründer von **Synthient**, einem Startup, das Proxy-Dienste verfolgt und als Erster Kimwolfs einzigartige Verbreitungstechniken dokumentierte, sagte, dass die für Kimwolf Verantwortlichen versucht haben, ein Command-and-Control-Netzwerk aufzubauen, das von Sicherheitsunternehmen und Netzwerkbetreibern, die zusammenarbeiten, um die Verbreitung des Botnetzes zu bekämpfen, nicht leicht lahmgelegt werden kann. Brundage sagte, dass die für Kimwolf Verantwortlichen mit der Nutzung von I2P und einem ähnlichen Anonymitätsnetzwerk – **Tor** – als Backup-Command-and-Control-Netzwerk experimentiert haben, obwohl es kürzlich keine Berichte über weit verbreitete Störungen im Tor-Netzwerk gab. "Ich glaube nicht, dass ihr Ziel darin besteht, I2P lahmzulegen", sagte er. "Es ist eher, dass sie nach einer Alternative suchen, um das Botnetz angesichts von Takedown-Versuchen stabil zu halten." Das Kimwolf-Botnetz stellte Ende letzten Jahres eine Herausforderung für **Cloudflare** dar, als es Millionen infizierter Geräte anwies, die DNS-Einstellungen von Cloudflare zu verwenden, was dazu führte, dass mit Kimwolf verbundene Kontroll-Domains **Amazon**, **Apple**, **Google** und **Microsoft** in der öffentlichen Rangliste von Cloudflare für die am häufigsten angeforderten Websites wiederholt überholten. James sagte, dass das I2P-Netzwerk immer noch mit etwa halber Kapazität im Vergleich zur normalen Kapazität arbeitet und dass eine neue Version ausgerollt wird, die in der nächsten Woche einige Stabilitätsverbesserungen für die Nutzer bringen soll. In der Zwischenzeit sagte Brundage, die gute Nachricht sei, dass die Oberhäupter von Kimwolf anscheinend vor kurzem einige ihrer kompetenteren Entwickler und Betreiber verärgert haben, was zu einem Anfängerfehler in der letzten Woche geführt habe, der die Gesamtzahl des Botnetzes um mehr als 600.000 infizierte Systeme reduziert habe. "Es scheint, als würden sie Dinge testen, wie Experimente in der Produktion durchführen", sagte er. "Aber die Zahlen des Botnetzes sinken jetzt erheblich, und sie scheinen nicht zu wissen, was sie tun."