Nos últimos meses, vimos como atores maliciosos voltam a aproveitar dispositivos domésticos e de pequena empresa para construir redes de bots com capacidade de lançar ataques massivos. Segundo pesquisas de assinaturas de segurança como Fortinet FortiGuard Labs e Palo Alto Networks Unit 42, estão sendo exploradas falhas em gravadores de vídeo digital (DVR) de TBK e em roteadores Wi-Fi de TP-Link que já chegaram no final do seu suporte para implantar variantes de Mirai e ferramentas afins.
No caso dos dispositivos TBK DVR, os analistas identificaram a exploração da vulnerabilidade referida como CVE‐2024‐3721. Os atacantes usam esse erro para executar um pequeno programa baixador que, segundo a arquitetura do Linux da equipe comprometida, instala uma variante de Mirai batizada pelos pesquisadores como "Nexcorium". O processo é simples, mas efetivo: a cadeia de infecção detecta a arquitetura, baixa o binário apropriado e arranca; pouco depois o dispositivo infectado mostra uma mensagem de controle – “nexuscorp has taken controle” – que confirma a persistência do ator na equipe.
Nexcorium não é um brinquedo: compartilha componentes típicos das famílias modernas de botnets IoT Eles explicam os técnicos. Entre suas características figura a inicialização de uma tabela de configuração codificada por XOR, um módulo watchdog para garantir que o malware continue vivo, e vários módulos orientados a ataques DDoS. Além disso, incorpora exploits conhecidos — por exemplo, tenta aproveitar CVE‐2017‐17215 para comprometer roteadors Huawei HG532 que possam estar na mesma rede — e dispõe de uma lista de credenciais integradas que utiliza em ataques de força bruta contra serviços Telnet abertos.
Se uma tentativa de Telnet tiver sucesso, o Nexcorium tenta obter um shell, implantar mecanismos de persistência por crontab ou um serviço systemd e conectar-se a um servidor de comando e controle para receber instruções de ataque (UDP, TCP ou até SMTP). Para dificultar a análise forense, uma vez que consegue deixar um mecanismo persistente apaga o binário original baixado da equipe.
A descrição técnica e os indicadores de compromisso sobre esta campanha podem ser consultados nas análises dos pesquisadores; Fortinet documenta esses comportamentos em seu espaço de pesquisa e Palo Alto Networks oferece contexto adicional sobre a atividade de exploração automatizada que observa na rede. Para aqueles que querem aprofundar, os portais dos fabricantes e grupos de resposta publicam relatórios que ajudam a entender a evolução dessas ameaças: Fortinet publica investigação técnica sobre ameaças em seu blog FortiGuard Labs Unit 42 de Palo Alto Networks mantém entradas sobre análise de malware e campanhas IoT em seu blog.
Paralelamente, Unit 42 detectou digitalizações ativos direcionadas a uma vulnerabilidade dos roteadores TP‐Link catalogada como CVE‐2023‐33538. Esses dispositivos já estão fora do ciclo de suporte, e embora as tentativas observadas pelos pesquisadores estavam mal construídos e não chegassem a executar código, o defeito subjacente é real; por isso CISA incluiu a entrada em seu catálogo de vulnerabilidades exploradas na natureza. A lista de modelos afetados inclui versões concretas de TL-WR940N, TL-WR740N e TL-WR841N, que ainda são comuns em redes domésticas e pequenas escritórios e, portanto, constituem um alvo fácil para campanhas automatizadas.
O problema não é apenas a existência de falhas, mas sim a combinação com credenciais por defeito e equipamentos que já não recebem adesivos. Quando um roteador deixa de se atualizar e segue com senhas de fábrica, uma vulnerabilidade que exigiria autenticação pode se transformar em uma porta de entrada crítica nas mãos de atacantes decididos. Unit 42 adverte ainda que as amostras que foram rastreadas incluem capacidades para se atualizar a si mesmas e para se apresentar como servidores web que propagam a infecção a dispositivos que se ligam a eles.
Para aqueles que gerem redes domésticas ou pequenas infra-estruturas, as recomendações práticas não são inovadoras, mas sim cruciais: substituir equipamentos sem suporte por modelos atualizados, mudar as credenciais por defeito, desativar serviços desnecessários como Telnet e segmentar a rede para isolar câmaras, gravadores e outras IoT do resto de dispositivos. CISA mantém um catálogo público com vulnerabilidades exploradas no mundo real e recomendações que é útil rever, disponível em seu site. Também convém consultar as descrições das vulnerabilidades no repositório nacional para conhecer o impacto técnico, por exemplo, as entradas de NVD para CVE‐2017‐17215 e CVE‐2023‐33538 em NVD CVE-2017-17215 e NVD CVE-2023-33538.
Olhai e suas derivadas não é uma surpresa: estas famílias continuam sendo preferidas por operadores de botnets pela sua simplicidade, baixo custo e grande quantidade de dispositivos expostos com configurações por defeito. Pesquisas recentes de terceiros, incluindo relatórios sobre serviços de “loader‐as‐a-service” que distribuem cargas como Mirai, mostram ainda que existe um ecossistema criminoso bem desenvolvido que facilita essas infecções a grupos com diferentes níveis de habilidade. Para entender esses modelos de abuso, relatórios de empresas como a CloudSEK oferecem contexto sobre como estas ferramentas são monetizadas e distribuídas; seu blog é uma boa leitura introdutória em CloudSEK Research.
A lição é clara: a segurança da rede começa pelo perímetro mais fraco — muitas vezes um roteador ou uma câmara sem adesivo — e passa por medidas básicas, mas eficazes. Manter o firmware atualizado quando possível, substituir equipamentos EoL, remover contas e senhas por defeito e monitorar conexões incomuns são passos que reduzem dramaticamente o risco de terminar fazendo parte de uma botnet que, no final, pode afetar tanto a privacidade quanto a disponibilidade de serviços na Internet.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...