Depois de revelar como o Kimwolf infectou mais de 2 milhões de dispositivos Android TV, uma nova investigação do KrebsOnSecurity expõe a complexa rede de empresas e indivíduos que lucraram com a operação criminosa.
O KrebsOnSecurity investigou os rastros digitais deixados pelos hackers e descobriu um ecossistema criminoso sofisticado. Ele envolve serviços de hospedagem nos Estados Unidos e Europa, provedores de proxy residencial e até ferramentas de desenvolvimento, que facilitaram a monetização em massa dos aparelhos infectados.
A investigação descobriu que muitas dessas empresas operavam em uma zona cinzenta entre legalidade e crime, vendendo serviços que facilitam ataques cibernéticos enquanto mantêm fachadas de negócios legítimos.
A empresa de hospedagem no coração da operação
A investigação começou com um endereço IP específico: 93.95.112.59. Em 8 de dezembro de 2025, a empresa de segurança chinesa XLab testemunhou ambas as variantes da botnet — Kimwolf e Aisuru — sendo distribuídas simultaneamente deste endereço, confirmando definitivamente que tinham os mesmos operadores.
Registros públicos mostram que o endereço pertence à Resi Rack LLC, empresa sediada em Lehi, Utah. No site oficial, a Resi Rack se apresenta como “Provedor Premium de Hospedagem de Servidores de Jogos”. Mas em fóruns de hackers como o BlackHatWorld, a empresa anunciava abertamente serviços de “Hospedagem Residencial de Proxy e Soluções de Software de Proxy”.
Cassidy Hales, cofundador da Resi Rack, confirmou ao KrebsOnSecurity que recebeu notificação sobre o uso malicioso em 10 de dezembro e suspendeu imediatamente o cliente responsável. No entanto, a investigação da Synthient revela que a infraestrutura da Resi Rack estava sendo usada pela Kimwolf desde pelo menos 24 de novembro — se não antes.
O servidor Discord que conectava todos os pontos
A Synthient descobriu que os operadores da botnet coordenavam suas atividades através de um servidor Discord chamado resi[.]to. Quando o KrebsOnSecurity entrou no canal em outubro como observador silencioso, havia menos de 150 membros, incluindo “Shox” — apelido usado por Cassidy Hales — e seu parceiro “Linus”.
O mais revelador: membros do canal publicavam regularmente novos endereços IP usados para direcionar tráfego da botnet. A Synthient rastreou pelo menos sete endereços estáticos da Resi Rack conectados à infraestrutura do Kimwolf entre outubro e dezembro de 2025.
Horas após a primeira reportagem sobre o Kimwolf, em 2 de janeiro de 2026, todo o histórico do servidor Discord foi apagado sem aviso e substituído por mensagens hostis. Minutos depois, o servidor inteiro desapareceu.
Os verdadeiros botmasters por trás do Kimwolf
O proprietário declarado do servidor resi[.]to usava apenas a inicial “D.” — abreviação de “Dort”, nome frequentemente mencionado nas conversas do Discord.
“Forky”, um brasileiro que admitiu envolvimento inicial com a Aisuru no final de 2024, revelou ao KrebsOnSecurity que Dort é canadense e uma das pelo menos duas pessoas controlando atualmente as botnets Aisuru e Kimwolf.
A outra, conhecida como “Snow”, trabalha em parceria com Dort.
Forky nega categoricamente participação nos ataques DDoS recordes da segunda metade de 2025, afirmando que rivais haviam tomado controle da botnet naquele momento.
Curiosamente, após o desaparecimento do Discord, um usuário chamado “Richard Remington” apareceu brevemente em um novo grupo do Telegram para publicar uma mensagem afirmando que Dort e Snow agora controlam 3,5 milhões de dispositivos infectados pelo Aisuru e Kimwolf.
A conta foi posteriormente deletada, mas anteriormente promovia um serviço de DDoS para aluguel.
A cadeia de monetização: de proxies a fraudes
Plainproxies e ByteConnect: o SDK suspeito
A análise técnica revelou que o Kimwolf instalava componentes de um SDK chamado ByteConnect, distribuído por uma empresa chamada Plainproxies. O ByteConnect se apresenta como especialista em “monetizar aplicativos de forma ética e gratuita”, enquanto a Plainproxies promete pools de proxy “ilimitados” para empresas de scraping.
Friedrich Kraft, CEO da Plainproxies identificado via LinkedIn, também é cofundador da ByteConnect Ltd. e opera a 3XK Tech GmbH, empresa de hospedagem alemã.
O histórico da 3XK Tech é preocupante: em julho de 2025, a Cloudflare a identificou como a maior fonte mundial de ataques DDoS na camada de aplicação da internet.
Em novembro, a GreyNoise Intelligence descobriu que endereços da 3XK eram responsáveis por cerca de 75% das varreduras, buscando uma vulnerabilidade crítica em produtos Palo Alto Networks.
Quando a Synthient se conectou ao SDK da ByteConnect para investigação, observou um influxo massivo de ataques de credential stuffing (preenchimento de credenciais roubadas) direcionados a servidores de e-mail e sites populares.
Kraft não respondeu aos repetidos pedidos de entrevista. Julia Levi, listada no LinkedIn como cofundadora da ByteConnect e ex-funcionária de grandes provedores de proxy como Netnut e Bright Data, também permaneceu em silêncio.
Maskify: preços que denunciam a origem ilícita
Outro provedor fortemente ligado à venda de proxies Kimwolf é a Maskify, que atualmente anuncia em fóruns de cibercrime possuir mais de 6 milhões de endereços residenciais para aluguel.
O modelo de negócio da Maskify levanta bandeiras vermelhas imediatas: cobra apenas US$ 0,30 por gigabyte de dados retransmitidos — preço absurdamente baixo e muito mais barato que qualquer outro provedor legítimo no mercado.
A Synthient recebeu capturas de tela mostrando operadores da Kimwolf tentando “descarregar largura de banda” em troca de dinheiro adiantado, provavelmente para financiar desenvolvimento e infraestrutura.
O relatório afirma: “Os revendedores sabem exatamente o que estão vendendo; proxies a esses preços não são obtidos de forma ética.”
A Maskify não respondeu aos pedidos de comentários.
A reação violenta dos criminosos
Quando o KrebsOnSecurity publicou a investigação inicial sobre o Kimwolf, a resposta foi imediata e agressiva. Em poucas horas:
- O servidor Discord resi[.]to foi completamente apagado;
- O site da Synthient sofreu um ataque DDoS massivo;
- Informações pessoais do pesquisador Benjamin Brundage foram expostas via registros na blockchain Ethereum.
A resiliência pela blockchain
Os botmasters demonstraram sofisticação técnica ao incorporar o Ethereum Name Service (ENS) à infraestrutura do Kimwolf. Esse sistema distribuído, usado para contratos inteligentes na blockchain Ethereum, permite que os operadores atualizem endereços de servidores de comando sem perder controle dos dispositivos infectados.
Como a blockchain é descentralizada e não regulamentada, esses registros não podem ser bloqueados ou removidos. A XLab observa: “Este canal depende da natureza descentralizada da blockchain, não regulamentada pela Ethereum ou outros operadores de blockchain, e não pode ser bloqueado.”
Os criminosos usaram registros de texto ENS para assediar Brundage, incluindo mensagens com suas informações pessoais. Outros registros ofereciam “conselhos” sinistros: “Se sinalizado, recomendamos que a caixa de TV seja destruída.”
O que fazer se você possui um dispositivo infectado
A Synthient e a XLab alertam que o Kimwolf tem como alvo um grande número de modelos de Android TV boxes, todos sem proteção de segurança e muitos com malware proxy integrado.
A vulnerabilidade é extrema: qualquer pacote de dados enviado a esses dispositivos pode resultar em controle administrativo completo.
Se você possui uma TV box que corresponde aos perfis identificados (modelos genéricos baratos de Android TV), simplesmente desconecte-a da sua rede imediatamente. O risco de manter esses dispositivos conectados supera qualquer benefício.
Se você encontrar um desses aparelhos na rede de familiares ou amigos, compartilhe informações sobre essa ameaça e explique os riscos de segurança, privacidade e até legais de manter dispositivos comprometidos conectados à internet.
A Synthient disponibilizou uma ferramenta de verificação em synthient.com/check onde é possível confirmar se algum dispositivo da sua rede faz parte da botnet Kimwolf.
Para mais dicas de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia.
