Há mais de um ano pesquisadores de segurança publicaram uma falha em determinados roteadores D-Link que agora começou a ser explorado ativamente por um botnet baseado em Mirai. O defeito, identificado como CVE‐2025‐29635, permite a execução de comandos remotos mediante um pedido POST dirigido a um endpoint concreto do dispositivo, e segundo o equipamento de resposta de segurança da Akamai (SIRT) essa fraqueza foi aproveitada desde março de 2026 para incorporar equipamentos a uma rede maliciosa.
A técnica observada por Akamai não é sofisticada na sua abordagem: os atacantes enviam pedidos que exploram a vulnerabilidade para se moverem por rotas onde o sistema tem permissões de escrita, descarregam um script denominadodlink.sha partir de um servidor remoto e executa-o, o que deriva na instalação de um binário malicioso. Esse binário, batizado pelos analistas como “tuxnokill”, é uma adaptação de Mirai preparada para funcionar em várias arquiteturas de CPU, e conserva o catálogo clássico de ataques de recusa de serviço distribuídos (DDoS) associados a Mirai (sincronas TCP, amplificações UDP, e variantes de floods HTTP).
A descrição técnica do erro deixa claro o vetor: um pedido POST ao recurso /goform/set_ prohibiting que invoca uma função vulnerável e permite injetar e executar comandos no equipamento afetado. A entrada pública da vulnerabilidade na base de dados nacional de vulnerabilidades pode ser consultada para ver os detalhes técnicos e o histórico da atribuição CVE: NVD – CVE‐2025-29635. O relatório da Akamai, que documenta a campanha e mostra os sinais recolhidos na sua rede de honeypots, está disponível aqui: Akamai SIRT – análise da campanha.
Um dado relevante neste incidente é que a vulnerabilidade foi dada a conhecer pelos pesquisadores Wang Jinshuai e Zhao Jiangting há mais de um ano e chegou a existir um teste de conceito publicado brevemente no GitHub, que posteriormente os autores retiraram. Ainda assim, a exploração massiva em ambientes reais não havia sido documentada até as observações recentes de Akamai.
Os responsáveis pela campanha não se limitaram a este único objectivo. Os mesmos padrões de ataque detectados por Akamai também apareceram em tentativas de exploração contra falhas distintas, como CVE‐2023‐1389 que afeta certos roteadores TP‐Link e uma vulnerabilidade de execução remota nos roteadores ZTE ZXV10 H108L, e em todos os casos o desfecho foi a implantação de uma carga tipo Mirai.
O contexto agrava o risco: os modelos DIR‐823X afetados por CVE‐2025‐29635 chegaram ao final de sua vida útil em novembro de 2024, segundo a própria D‐Link, o que reduz as opções de receber um adesivo oficial. D‐Link deixou claro nas suas políticas que não costuma emitir exceções de suporte para equipamentos EoL, de modo que milhões de usuários com hardware antigo poderiam não ter uma atualização disponível; a notificação de suporte está publicada no site da empresa: D-Link – anúncio de fim de vida.
Este incidente lembra por que as botnets baseadas em dispositivos IoT continuam sendo uma ameaça persistente: aparelhos com firmware sem atualizações, senhas por defeito e serviços de administração acessíveis da Internet oferecem uma superfície de ataque atraente e estável. Olhai, em suas diferentes reencarnações, demonstrou que pode reaparecer com variantes capazes de se compilar para diferentes chips e sistemas operacionais embebidos, multiplicando o risco em ambientes domésticos e SME.
Se você tem um desses roteadores ou equipamentos próximos em antiguidade, as medidas defensivas mais efetivas passam por substituir a equipe por um que ainda receba suporte e atualizações de segurança. Enquanto não for possível a substituição, convém minimizar a exposição: desativar a administração remota se não for imprescindível, mudar credenciais administrativas por senhas robustas e únicas, e monitorar comportamentos anormais como reinícios inesperados, conexões salientes para IPs desconhecidos ou mudanças na configuração que não tenha realizado.
Além disso, para administradores e equipamentos de segurança é recomendável rever os registros, bloquear no perímetro as tentativas de exploração conhecidas e utilizar inspeção de tráfego para detectar descargas de scripts que tentem persistir em rotas com permissões de escrita. A inteligência pública sobre essas campanhas — como a de Akamai — e a descrição do CVE ajudam a ajustar regras de detecção e bloqueio em firewalls e sistemas de prevenção de intrusões.
A boa notícia é que a comunidade de segurança dispõe de documentação e análise que permitem identificar e mitigar este tipo de ameaças; a má é que o parque de dispositivos sem suporte continuará a ser um vetor exploável enquanto existam equipamentos conectados sem manutenção. Para entender o alcance histórico e técnico de Mirai, cabe consultar peças de referência que descrevem a evolução desse ecossistema malicioso, como a análise de Brian Krebs sobre o botnet Mirai e suas consequências em grande escala: KrebsOnSecurity – O botnet Mirai.
Em resumo, CVE‐2025‐29635 tornou-se a porta de entrada para uma campanha ativa que instala uma variante de Mirai em roteadors D‐Link que já não recebem suporte. A solução mais segura é a substituição da equipe por um atualizado, e como medidas complementares, convém reduzir a superfície de ataque e monitorizar o comportamento da rede para detectar sinais de compromisso o mais rapidamente possível.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...