Há semanas, pesquisadores em segurança alertaram sobre um novo botnet e ativo que está transformando roteadores domésticos e outros equipamentos de borda em proxies à disposição de criminosos. De acordo com a equipe de pesquisa de ameaças conhecida como Black Lotus Labs, este malware, como KadNap, cresceu de forma notável desde agosto de 2025 e já agrupa dezenas de milhares de dispositivos dentro de uma rede peer-to-peer que complica seu rastreamento e mitigação.
A chave técnica do problema é que KadNap usa uma variante do protocolo Kademlia - uma tabela hash distribuída (DHT) - para esconder e distribuir as informações de comando e controle (C2). Em vez de depender de um único servidor central, os dispositivos infectados comunicam-se entre si para localizar nodos de controle, de modo que remover um IP específico não desactiva a botnet em bloco. Para entender a ideia de fundo, você pode consultar a explicação técnica de Kademlia em fontes públicas como a entrada de referência na Wikipédia: https://en.wikipedia.org/wiki/Kademlia.
O modus operandi técnico relatado arranca com a descarga de um script malicioso (denominado aic.sh nas análises) a partir de um endereço IP específico. Esse script persiste na equipe criando uma tarefa programada que é executada com frequência e, em seguida, instala um binário ELF - chamado kad nos achados - que atua como cliente do botnet. O binário consulta o IP externo da máquina e sincroniza tempo e arranque com serviços NTP para medir o seu comportamento antes de se integrar na rede de pares.
Apesar da aparência descentralizada, os pesquisadores detectaram um padrão que abre uma janela de defesa: A implementação de Kademlia por parte de KadNap mantém conexões constantes a dois nós concretos antes de alcançar os servidores de controle final. Esse comportamento reduz a verdadeira descentralização e facilita identificar infraestrutura relevante para a xclusão ou bloqueio. A própria descoberta e análise foram divulgadas por Black Lotus Labs; seu trabalho destaca como os atacantes misturam técnicas P2P com hábitos operacionais repetitivos que às vezes os delatam.
Geograficamente, a maior parte dos dispositivos comprometidos encontra-se nos Estados Unidos — cerca de 60% segundo o relatório — com concentrações adicionais em Taiwan, Hong Kong e Rússia. O botnet chegou a abranger cerca de 14.000 nodos na janela analisada, e quase metade desses equipamentos se associam a infraestrutura de controle orientada especificamente para roteadores da marca ASUS.
Quanto à monetização, os pesquisadores relacionam KadNap com um serviço de proxy denominado Doppelganger, que parece ser uma reempaquetação de serviços prévios como Faceless. Esses mercados vendem acesso a máquinas infectadas como "proxies residenciais", úteis para encobrir tráfego malicioso e sortear bloqueios: desde ataques DDoS até campanhas de credential stuffing e força bruta. Isso torna os equipamentos domésticos comprometidos em um recurso comercial para atores criminosos que buscam anonimato e filtragem geográfica do tráfego.
As ações defensivas não se fizeram esperar: Lumen afirmou que bloqueou em sua própria rede o tráfego associado à infraestrutura de controle identificada, e anunciou que publicaria indicadores de compromisso (IOCs) para ajudar outros operadores e administradores a detectar e mitigar a botnet. Estas medidas sublinham que a cooperação entre investigadores, operadores e fornecedores é crítica quando uma ameaça é distribuída pela rede global.
O que pode fazer um usuário doméstico ou um administrador de rede pequena agora mesmo? Actualizar o firmware do roteador e mudar as credenciais padrão é a primeira linha de defesa; muitas infecções em dispositivos de borda prosperam por credenciais fracas e versões sem adesivo. Também é conveniente desativar funções de gestão remota se não forem usadas, ativar a criptografia WPA2/3 na Wi-Fi e segregar dispositivos IoT em uma rede independente da rede principal. Se se suspeitar de uma infecção, um reinício nem sempre basta: restaurar valores de fábrica e aplicar o firmware mais recente é a forma mais segura de limpar um roteador comprometido. Para referências sobre boas práticas e mitigações, os guias oficiais de agências públicas e marcos de segurança são úteis; por exemplo, as recomendações da CISA para proteger redes domésticas e de teletrabalho oferecem passos concretos: https://www.cisa.gov/publication/securing-home-networks-work. Também é pertinente rever técnicas de persistência documentadas em marcos como MITRE ATT&CK, que descrevem como o malware usa tarefas programadas para sobreviver a reinícios: https://attack.mitre.org/techniques/T1053/.
A história de KadNap ilustra duas tendências que convém ter em mente: por um lado, os atacantes ampliam seu alcance explorando dispositivos de consumo que não foram concebidos com segurança robusta; por outro, recorrem a arquiteturas P2P e técnicas de ocultação para dificultar a interrupção de seus serviços. A combinação de dispositivos mal protegidos e negócios ilícitos que vendem “acesso como serviço” cria um ecossistema onde o dano se escala rapidamente, e a resposta requer tanto medidas técnicas individuais como intervenções coordenadas a nível de rede e de comunidade de segurança.
Para aqueles que querem aprofundar a análise técnica e o acompanhamento deste botnet, o mais prudente é consultar a análise original dos pesquisadores que o documentaram e as atualizações que publicam as organizações de resposta em segurança. O trabalho de Black Lotus Labs foi a principal fonte pública deste incidente; o seu trabalho demonstra a utilidade da investigação de ameaças para mapear táticas, técnicas e procedimentos e para fornecer listas de bloqueio que ajudem a travar a proliferação.
Em suma, a aparição de KadNap lembra-nos que a segurança começa em casa: manter equipamentos atualizados, mudar credenciais por defeito e aplicar boas práticas de segmentação e monitoramento reduzem consideravelmente o risco de nosso roteador se tornar uma peça mais de uma botnet.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...