Em uma operação judicial autorizada que se estendeu entre vários países, as forças da ordem desmantelaram parte da infraestrutura de controle que alimentava algumas das redes de dispositivos comprometidos mais potentes dos últimos anos. As autoridades americanas anunciaram que intervieram servidores de comando e controle (C2) ligados a botnets da Internet das Coisas (IoT) como AISURU, Kimwolf, JackSkid e Mossad, em uma ação em que colaboraram parceiros no Canadá e na Alemanha e muitas empresas do setor privado. Foi uma resposta coordenada para cortar o fornecimento que permitia a estas redes lançar ataques massivos; a pesquisa contou com apoio técnico de atores como Akamai, Amazon Web Services, Cloudflare, Google, Lumen, entre outros, segundo o comunicado oficial do Departamento de Justiça.
A escala do problema explica a urgência da operação. Estas botnets foram responsáveis por ataques distribuídos de recusa de serviço (DDoS) que atingiram magnitudes sem precedentes: alguns eventos medidos por empresas de mitigação superaram os 30 terabits por segundo, e num caso específico Cloudflare atribuiu um pico de 31,4 Tbps ocorrido em novembro de 2025 que durou apenas 35 segundos. Falamos de ondas de tráfego que podem saturar infraestrutura-chave da internet e deixar fora de serviço a fornecedores e organizações. Você pode ler a nota do Departamento de Justiça sobre a operação aqui: justice.gov, e uma cobertura técnica e jornalística sobre a investigação Krebs on Security.
Os atores atrás dessas redes usaram principalmente dispositivos cotidianos: decodificadores de TV Android de marcas chinesas de baixo custo, gravadores de vídeo digital, câmeras web e roteadores domésticos. Ao explorar vulnerabilidades e credenciais por defeito, os operadores conseguiram converter milhões de aparelhos em "zombies" que executavam ordens de ataque. Segundo os documentos judiciais, as variantes ligadas ao velho Mirai chegaram a emitir centenas de milhares de comandos de ataque ao longo de sua atividade. O resultado foi uma botnet global composta por milhões de dispositivos, que oferecia sua potência como um produto vendível em um mercado ilícito.
Uma das novidades que os pesquisadores apontam como causa da rápida expansão foi a adoção de novas técnicas: Kimwolf, em particular, explodiu o que foi descrito como redes de proxy residenciais, permitindo que os atacantes pivotar de dispositivos dentro de redes domésticas e sortear proteções que normalmente isolam ambientes domésticos de digitalização em massa. Em palavras de especialistas envolvidos na operação, isso significou uma mudança de paradigma: em vez de limitar-se a procurar equipamentos expostos na borda pública da internet, os atacantes são recrutados dentro das próprias redes locais, com tudo o que isso implica para a resiliência e o anonimato da botnet. Uma análise da Akamai sobre a intervenção técnica e o impacto está disponível em seu blog: Akamai.
A investigação mediática também tentou identificar aqueles que estariam por trás de algumas dessas operações. Relatórios jornalísticos têm apontado pelo menos duas pessoas como potenciais suspeitos: um jovem de 23 anos em Ottawa que, segundo a cobertura, afirmou não usar há anos uma alias ligada à botnet e disse ter sido suplantado, e outro indivíduo menor de idade na Alemanha. Em ambos os casos, as autoridades não informaram detenções públicas ao encerramento dos comunicados e as investigações continuam a decorrer; você pode consultar o trabalho de acompanhamento em Krebs on Security.
Além de quem apretava os botões, a resposta técnica foi contundente: operadores de redes e empresas de segurança realizaram medidas como o null-routing de centenas de servidores de comando, implantaçãos de filtragem e cooperação para rastrear a infraestrutura. Lumen Black Lotus Labs, por exemplo, relatou esforços para bloquear servidores C2 e dados operacionais sobre o crescimento diário de vítimas de botnets como JackSkid e Mossad em março de 2026, números que ilustram a velocidade com que estas ameaças podem ser expandidas. Ao mesmo tempo, vários fornecedores ajudaram a fechar a alavanca com a qual se ordenavam essas ondas de tráfego. A nota do Departamento de Justiça detalha parte dessa colaboração e os atores envolvidos.
Este episódio tem várias lições claras para quem gere dispositivos e políticas públicas. Primeiro, a enorme quantidade de aparelhos ligados e a falta de medidas mínimas de segurança em muitos modelos baratos criam um caldo de cultura para redes de bots. Segundo, a capacidade de alugar ou vender acesso a esses recursos a terceiros criminosos multiplica o dano potencial: não se trata apenas de um operador que realiza ataques, mas de um mercado que profissionaliza e escala a oferta criminosa. E terceiro, a defesa requer coordenação entre empresas, inteligência privada e forças da ordem para neutralizar tanto a infraestrutura técnica como a cadeia econômica que sustenta essas atividades.
Se você tem dispositivos conectados em casa ou gerencia uma rede pequena, você precisa tomar medidas concretas: aplicar atualizações de firmware, mudar senhas por defeito, desativar serviços desnecessários e, quando possível, segregar os dispositivos IoT em uma subred para além para limitar seu acesso a recursos críticos. Também é recomendável escolher fabricantes com histórico de suporte e ativar mecanismos de atualização automática. Estas práticas não garantem imunidade total, mas reduzem significativamente a superfície de ataque.
A recente operação demonstra que, embora as botnets em massa possam tornar-se uma ameaça global, a colaboração internacional e público-privada pode dar golpes eficazes à sua infraestrutura. No entanto, Enquanto ainda existem dispositivos inseguros e modelos de negócio que os priorizem, continuaremos a ver tentativas de exploração e surtos de novas famílias de botnets. Manter a cibersegurança como prioridade na fabricação, regulação e uso cotidiano é a única maneira de baixar a temperatura deste problema.
Para ampliar informações: comunicado do Departamento de Justiça sobre a intervenção ( justice.gov), indagações jornalísticas e técnicas em Krebs on Security, relatórios de reasearch corporativo como o de Akamai e sobre JackSkid Foresiet.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...