Pesquisadores de segurança derrubam 550 servidores das botnets Aisuru e Kimwolf

A equipe do laboratório Black Lotus, da empresa de segurança digital Lumen Technologies, relatou ter derrubado o tráfego de mais de 550 nódulos de comando e controle (C2) da botnet Aisuru/Kimwolf desde outubro de 2025. A rede criminosa de aparelho infectados é uma das maiores em ação nos tempos recentes, capaz de fazer ataques DDoS e hospedar tráfego malicioso a partir de proxies residenciais.

• Você faz parte de uma botnet? Descubra com esta ferramenta gratuita
• O que é um ataque DDoS?

A Kimwolf, seção voltada ao Android da Aisuru, teve detalhes revelados publicamente pela QiAnXin XLab, em dezembro, mostrando que aparelhos de TV Box Android foram infectados pelo SDK ByteConnect pré-instalado ou adquirido por meio de aplicativos clandestinos. Infectando mais de 2 milhões de dispositivos, a botnet ainda capitalizou em cima das invasões ao cobrar para realocar banda larga de vítimas e vender serviços de DDoS.

O tamanho da Aisuru e seu combate

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo a Black Lotus Labs, um grupo de conexões SSH residenciais foi identificado em setembro do ano passado, vindo de vários endereços IP canadenses, trabalhando como C2 da Aisuru.

O domínio ultrapassou o Google na lista da Cloudflare de top 100 domínios em novembro, demonstrando o tamanho da rede maliciosa. Outro domínio C2, descoberto em outubro, revelou que os hackers compartilhavam arquivos clandestinos em um servidor Discord chamado resi.to.

No mesmo mês, um aumento de 300% nos bots da Kimwolf em apenas 7 dias, chegando a 800.000 bots em meados de outubro, foi observado. Quase todos foram listados para venda em um serviço de proxies residenciais. A arquitetura da Kimwolf escaneou, ainda, serviços como o PYPROXY em busca de dispositivos vulneráveis para integrar à botnet.

Após um null route (desvio do servidor para sua inutilização) bem-sucedido em outubro, os cibercriminosos se moveram para outro IP, ligado ao Resi Rack LLC.

Segundo a Black Lotus, as atividades maliciosas têm usado cada vez mais aparelhos domésticos para se esconder em meio ao tráfego comum: datacenters e endereços de provedores conhecidos são mais facilmente identificados. A atividade evita mecanismos de detecção automáticos e passa despercebida por mais tempo, dando mais trabalho aos pesquisadores de segurança.

Leia também no Canaltech:

• Ciberataques na Oceania mostram mudança de estratégia de hackers
• Hackers “sequestram” comentários do LinkedIn para espalhar malware
• Microsoft bloqueia serviço global de assinatura de crimes digitais

VÍDEO | TV BOX SÃO SEGURAS? É ILEGAL? #Shorts

Fonte: Black Lotus