Uma nova botnet chamada “KadNap” está atacando ativamente roteadores da Asus e outros dispositivos de rede, utilizando-os para encaminhar tráfego malicioso de maneira oculta. A maioria dos aparelhos infectados é baseada nos Estados Unidos, conforme revelou a Lumen Technologies nesta terça-feira (10).
Em atividade desde agosto de 2025, a rede controlada por cibercriminosos vem crescendo e já soma pelo menos 14 mil dispositivos, dos quais 60% estão no território americano. Hong Kong, Taiwan e Rússia são outros países com grandes números de vítimas.
Como o ataque funciona?
Explorando vulnerabilidades de segurança nos roteadores e demais aparelhos que são alvo da campanha e estão expostos na internet, os operadores da botnet KadNap usam um script malicioso para infectar esses dispositivos. Ele é executado automaticamente a cada 55 minutos.
- A partir daí, o mecanismo libera um binário que instala o malware nos equipamentos e verifica os endereços IP externos para sincronizar os roteadores na rede;
- Desenvolvido para rodar em arquiteturas de hardware comuns em roteadores e dispositivos IoT, o programa malicioso usa uma versão modificada do protocolo Kademlia Distributed Hash Table (DHT);
- Presente em redes peer-to-peer (P2P), o DHT possibilita a busca por servidores de controle sem depender de um único endereço centralizado;
- Assim, se torna mais difícil detectar e/ou bloquear o sistema, pois a derrubada de apenas um servidor não impacta toda a rede, tornando a botnet mais resiliente.
O relatório aponta, ainda, que o malware executa diferentes ações para garantir o anonimato e a continuidade da campanha. Bloqueio de portas de administração e a coleta de informações dos dispositivos, como o tempo de atividade, são algumas delas.
No entanto, pesquisadores da Black Lotus Labs, divisão de pesquisa e operações de ameaça da Lumen, descobriram que a rede se conecta frequentemente por dois nós específicos antes de chegar ao servidor central. Com isso, parte da campanha acabou exposta.
Acessos à venda
De acordo com os responsáveis pela descoberta, o acesso à KadNap está sendo vendido pelos operadores para cibercriminosos interessados em utilizar a infraestrutura. Botnets geralmente são usadas em ataques de negação de serviço distribuído (DDoS).
Elas também propiciam ataques de força bruta, contorno de bloqueios, automação maliciosa e outros tipos de fraudes online. As ferramentas são comercializadas por um serviço denominado Doppelganger, nova versão do Faceless, anteriormente associado à botnet TheMoon.
A empresa destaca que bloqueou todo o acesso à botnet KadNap nos servidores de comando e controle da sua rede. Em breve, ela vai fornecer os indicadores de comprometimento para que outras organizações façam o mesmo em seus sistemas.
Curtiu o conteúdo? Leia mais notícias no TecMundo e compartilhe-as com os amigos nas redes sociais.