Botnet

A empresa de cibersegurança Synthient revelou a descoberta da botnet Kimwolf, que já comprometeu mais de 2 milhões de dispositivos Android, especialmente TV boxes, no Brasil e em outros países. A botnet, que se conecta a redes proxy residenciais, é uma evolução da botnet Aisuru, que anteriormente havia invadido 1,8 milhões de aparelhos. A Kimwolf utiliza técnicas avançadas de encriptação e comunicação, como DNS sobre TLS e EtherHiding, para evitar detecções e desmantelamentos. Os cibercriminosos monetizam as infecções por meio da venda de SDKs e revenda de banda larga, além de permitir o preenchimento de credenciais em massa. A maioria das infecções foi observada em países como Brasil, Índia, Arábia Saudita e Vietnã. A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas e que usuários verifiquem e destruam dispositivos infectados.

A botnet Kimwolf, que já infectou mais de 2 milhões de dispositivos Android, tem se destacado por sua capacidade de explorar redes de proxy residenciais para disseminar malware. De acordo com a Synthient, a botnet monetiza suas operações através da instalação de aplicativos, venda de largura de banda de proxy residencial e funcionalidade de DDoS. Desde sua primeira documentação pública em dezembro de 2025, Kimwolf tem sido associada a ataques DDoS recordes, principalmente em países como Vietnã, Brasil, Índia e Arábia Saudita. A maioria das infecções ocorre em dispositivos Android que têm o Android Debug Bridge (ADB) exposto, com 67% dos dispositivos conectados à botnet sendo não autenticados e com ADB habilitado por padrão. Além disso, a botnet utiliza endereços IP de proxies alugados, como os oferecidos pela empresa chinesa IPIDEA, para infiltrar-se em redes locais e instalar o malware. A Synthient alerta que a vulnerabilidade expõe milhões de dispositivos a ataques, e recomenda que provedores de proxy bloqueiem solicitações a endereços IP privados para mitigar os riscos.

O início de 2026 trouxe à tona uma série de ameaças cibernéticas que exploram a confiança dos usuários em sistemas considerados estáveis. Um dos principais focos é a botnet RondoDox, que utiliza a vulnerabilidade React2Shell (CVE-2025-55182) para comprometer dispositivos da Internet das Coisas (IoT) e aplicações web. Com um CVSS de 10.0, essa falha ainda afeta cerca de 84 mil dispositivos, principalmente nos EUA.

Além disso, o Trust Wallet sofreu um ataque na sua extensão do Chrome, resultando na perda de aproximadamente 8,5 milhões de dólares. O ataque foi atribuído a uma brecha na cadeia de suprimentos, onde segredos do GitHub foram expostos. Outro grupo, DarkSpectre, foi identificado como responsável por uma campanha de malware em extensões de navegador, afetando mais de 8,8 milhões de usuários ao longo de sete anos.

Pesquisadores de cibersegurança revelaram uma campanha persistente de nove meses que visou dispositivos da Internet das Coisas (IoT) e aplicações web, com o objetivo de integrá-los a uma botnet chamada RondoDox. Desde dezembro de 2025, a campanha tem explorado a vulnerabilidade React2Shell (CVE-2025-55182), que permite a execução remota de código em dispositivos vulneráveis. Estima-se que cerca de 90.300 instâncias ainda estejam suscetíveis a essa falha, com a maioria localizada nos EUA. A RondoDox, que surgiu no início de 2025, ampliou seu alcance ao adicionar novas vulnerabilidades ao seu arsenal. A campanha passou por três fases distintas, incluindo reconhecimento inicial e exploração em larga escala. Em dezembro de 2025, os atacantes começaram a escanear servidores Next.js vulneráveis e tentaram implantar mineradores de criptomoedas e variantes da botnet Mirai. Para mitigar os riscos, as organizações são aconselhadas a atualizar suas versões do Next.js, segmentar dispositivos IoT em VLANs dedicadas e monitorar processos suspeitos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança nos gravadores de vídeo em rede (NVRs) Digiever DS-2105 Pro em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2023-52163, possui uma pontuação CVSS de 8.8 e está relacionada a uma injeção de comando que permite a execução remota de código após autenticação. Segundo a CISA, a falha se deve a uma vulnerabilidade de autorização ausente, que pode ser explorada através do arquivo time_tzsetup.cgi. Relatórios da Akamai e Fortinet indicam que a vulnerabilidade está sendo utilizada por agentes de ameaças para implantar botnets como Mirai e ShadowV2. A falha, juntamente com um bug de leitura de arquivo arbitrário (CVE-2023-52164, CVSS 5.1), permanece sem correção, uma vez que o dispositivo atingiu o status de fim de vida (EoL). A CISA recomenda que as agências do governo federal dos EUA adotem as devidas mitig ações ou descontinuem o uso do produto até 12 de janeiro de 2025, para proteger suas redes contra ameaças ativas.

Recentemente, as ameaças cibernéticas demonstraram que os atacantes não precisam de grandes invasões para causar danos significativos. Eles estão mirando em ferramentas cotidianas, como firewalls e extensões de navegador, transformando pequenas falhas em brechas sérias. A verdadeira ameaça não é apenas um ataque de grande escala, mas sim centenas de ataques silenciosos que exploram sistemas confiáveis dentro das redes. Na última semana, produtos de segurança de empresas como Fortinet, SonicWall e Cisco foram alvo de ataques que exploraram vulnerabilidades críticas, como a CVE-2025-20393, que permite a execução remota de código. Além disso, uma extensão do Chrome chamada Urban VPN Proxy foi flagrada coletando dados de usuários de chatbots de IA, afetando mais de 8 milhões de instalações. Outro ataque significativo foi o da botnet Kimwolf, que comprometeu 1,8 milhão de TVs Android em todo o mundo. Esses incidentes ressaltam a importância de manter sistemas atualizados e monitorar continuamente as redes para evitar que falhas não corrigidas se tornem pontos de entrada para invasores.

A botnet Kimwolf, identificada pela QiAnXin XLab, já infectou cerca de 1,8 milhão de dispositivos, incluindo TVs Android e set-top boxes. Entre 19 e 22 de novembro de 2025, a botnet emitiu 1,7 bilhão de comandos de ataque DDoS, destacando-se no ranking da Cloudflare. Os principais alvos são dispositivos de TV em redes residenciais, com infecções concentradas em países como Brasil, Índia e EUA. A botnet utiliza técnicas avançadas, como o uso de ENS (Ethereum Name Service) para dificultar sua desativação. A pesquisa sugere que Kimwolf pode estar associada à botnet AISURU, conhecida por ataques DDoS recordes. A malware é projetada para operar de forma discreta, garantindo que apenas uma instância do processo seja executada e utilizando criptografia TLS para comunicação. Com 13 métodos de ataque DDoS suportados, a botnet visa maximizar o uso da largura de banda dos dispositivos comprometidos, indicando um foco em monetização através de serviços de proxy. Este incidente destaca a crescente ameaça que botnets de grande escala representam para dispositivos IoT, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

O cenário de cibersegurança apresenta um aumento significativo nas ameaças digitais, com hackers infiltrando malware em downloads de filmes, extensões de navegador e atualizações de software. Um novo botnet, Broadside, baseado na variante Mirai, está explorando uma vulnerabilidade crítica em dispositivos TBK DVR, visando o setor de logística marítima. Além disso, o Centro Nacional de Cibersegurança do Reino Unido alertou que falhas em aplicações de inteligência artificial generativa podem nunca ser totalmente mitigadas. Em uma operação da Europol, 193 indivíduos foram presos por envolvimento em redes de ‘violência como serviço’, enquanto na Polônia, três ucranianos foram detidos por tentativas de sabotagem de sistemas de TI. Na Espanha, um jovem hacker foi preso por roubar 64 milhões de registros de dados. A Rússia desmantelou uma operação que utilizava malware para roubar milhões de clientes bancários. Por fim, uma nova backdoor chamada GhostPenguin foi descoberta, capaz de coletar informações de sistemas Linux. Esses eventos destacam a necessidade urgente de medidas de segurança robustas e vigilância contínua.

No terceiro trimestre de 2025, a Cloudflare reportou um aumento alarmante nos ataques DDoS, com picos de até 29,7 Tbps, impulsionados pela botnet Aisuru. Essa rede, composta por 1 a 4 milhões de dispositivos, é responsável por 8,3 milhões de ataques, um aumento de 15% em relação ao trimestre anterior e 40% em relação ao ano passado. Os ataques DDoS cresceram 54%, resultando em uma média de 14 incidentes diários. O setor de inteligência artificial foi particularmente afetado, com um aumento de 347% no tráfego DDoS. Os setores de telecomunicações, jogos online e financeiro também foram visados, com consequências severas, incluindo quedas de internet. A severidade dos ataques aumentou, com um crescimento de 189% em incidentes acima de 100 Mbps e 227% em ataques que superam 1 Tbps. A Indonésia se destacou como a principal origem global desses ataques, refletindo um cenário de cibersegurança cada vez mais complexo e desafiador.

No dia 4 de dezembro de 2025, a Cloudflare anunciou a mitigação do maior ataque DDoS já registrado, com uma intensidade de 29,7 terabits por segundo (Tbps). O ataque, que durou apenas 69 segundos, foi originado de uma botnet chamada AISURU, conhecida por realizar ataques volumétricos massivos. A Cloudflare não revelou o alvo específico do ataque, mas destacou que a botnet tem como foco setores como telecomunicações, jogos, hospedagem e serviços financeiros. Além deste ataque, a empresa também neutralizou um ataque de 14,1 Bbps proveniente da mesma botnet. Desde o início do ano, a Cloudflare já mitigou 2.867 ataques da AISURU, sendo 1.304 apenas no terceiro trimestre de 2025. O número total de ataques DDoS bloqueados em 2025 alcançou 36,2 milhões, com um aumento significativo em relação ao ano anterior. A empresa observou que a maioria dos ataques DDoS durou menos de 10 minutos e que a origem dos ataques está concentrada principalmente na Ásia. A crescente sofisticação e volume dos ataques DDoS representam um desafio crescente para as organizações, que precisam se adaptar a esse cenário em evolução.

Um novo malware chamado ShadowV2, baseado na botnet Mirai, está atacando dispositivos de marcas como D-Link e TP-Link, explorando vulnerabilidades conhecidas. Pesquisadores da FortiGuard Labs identificaram que o malware se espalha por pelo menos oito falhas em equipamentos de Internet das Coisas (IoT), incluindo CVEs como CVE-2020-25506 e CVE-2024-10915. Apesar de algumas dessas falhas serem conhecidas, a D-Link não planeja corrigir as vulnerabilidades em seus dispositivos considerados ’end-of-life’. O ShadowV2 realiza ataques DDoS utilizando protocolos UDP, TCP e HTTP, e é controlado por servidores de comando e controle. Os ataques foram observados em diversos setores, incluindo governo e telecomunicações, afetando regiões da América do Sul, América do Norte, Europa e Ásia. A gravidade da situação é acentuada pela falta de atualizações em dispositivos vulneráveis, o que pode levar a um aumento na exploração dessas falhas por cibercriminosos.

A GreyNoise, empresa de cibersegurança, lançou uma ferramenta gratuita chamada GreyNoise IP Check, que permite aos usuários verificar se seus endereços IP estão conectados a botnets. Uma botnet é uma rede de dispositivos infectados por malware, controlados remotamente por cibercriminosos, muitas vezes sem o conhecimento dos usuários. A ferramenta oferece três resultados: ‘Clean’ (Limpo), indicando que não há atividade maliciosa; ‘Malicious/Suspicious’ (Maliciosa/Suspeita), que sugere investigar dispositivos conectados; e ‘Common Business Service’ (Serviço Comercial Padrão), que indica que o IP está associado a uma VPN ou rede corporativa. Além disso, a ferramenta fornece um histórico de 90 dias do endereço IP, ajudando a identificar quando a infecção ocorreu. Dispositivos infectados podem ser utilizados para ataques DDoS, phishing e fraudes publicitárias, geralmente devido à falta de atualizações de segurança. Especialistas recomendam que os usuários mantenham seus sistemas atualizados e desativem o acesso remoto quando não necessário.

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

Uma nova campanha de cibersegurança, chamada Operação WrtHug, comprometeu dezenas de milhares de roteadores ASUS desatualizados ou fora de suporte, principalmente em Taiwan, EUA e Rússia. Nos últimos seis meses, mais de 50.000 endereços IP únicos de dispositivos infectados foram identificados. Os ataques exploram seis vulnerabilidades conhecidas em roteadores ASUS WRT, permitindo que os invasores assumam o controle dos dispositivos. Todos os roteadores afetados compartilham um certificado TLS autoassinado com uma data de expiração de 100 anos a partir de abril de 2022. A maioria dos serviços que utilizam esse certificado está relacionada ao ASUS AiCloud, um serviço que permite acesso a armazenamento local pela internet. A campanha é semelhante a outras operações de botnets ligadas a grupos de hackers da China, levantando suspeitas sobre a origem dos atacantes. Os modelos de roteadores afetados incluem o ASUS Wireless Router 4G-AC55U, entre outros. A pesquisa destaca a crescente tendência de atores maliciosos visando dispositivos de rede em operações de infecção em massa, o que representa um risco significativo para a segurança cibernética global.

A Microsoft anunciou a neutralização de um ataque de negação de serviço distribuído (DDoS) que atingiu 15,72 terabits por segundo (Tbps) e 3,64 bilhões de pacotes por segundo (pps), o maior já observado na nuvem. O ataque, originado de uma botnet de Internet das Coisas (IoT) chamada AISURU, envolveu mais de 500.000 endereços IP de origem. Os ataques foram caracterizados por inundações UDP de alta taxa, com pouca falsificação de origem, o que facilitou a rastreabilidade. A botnet AISURU, composta por cerca de 300.000 dispositivos infectados, como roteadores e câmeras de segurança, é responsável por alguns dos maiores ataques DDoS registrados. Embora a Microsoft tenha conseguido neutralizar o ataque, a vulnerabilidade dos dispositivos comprometidos ainda representa um risco. Além disso, a botnet também é utilizada para outras atividades ilícitas, como phishing e scraping. A crescente capacidade de ataque é impulsionada pelo aumento da velocidade da internet e pela potência dos dispositivos IoT. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger infraestruturas críticas.

Entre os dias 10 e 13 de novembro de 2025, uma operação coordenada liderada pela Europol e Eurojust resultou no desmantelamento de famílias de malware, incluindo Rhadamanthys Stealer, Venom RAT e a botnet Elysium. Esta ação faz parte da Operação Endgame, que visa combater infraestruturas criminosas e ransomware em todo o mundo. Durante a operação, mais de 1.025 servidores foram derrubados e 20 domínios foram apreendidos. A Europol informou que a infraestrutura desmantelada continha centenas de milhares de computadores infectados, com milhões de credenciais roubadas. Muitos dos afetados não tinham conhecimento da infecção em seus sistemas. Além disso, o principal suspeito do Venom RAT foi preso na Grécia e tinha acesso a cerca de 100.000 carteiras de criptomoedas, representando um potencial valor de milhões de euros. A análise da Check Point revelou que a versão mais recente do Rhadamanthys agora coleta impressões digitais de dispositivos e navegadores, utilizando mecanismos para evitar detecção. A operação contou com a colaboração de agências de segurança de vários países, incluindo Estados Unidos, Austrália e diversos países europeus.

Pesquisadores de segurança da XLab identificaram uma expansão significativa da botnet PolarEdge, que comprometeu mais de 25.000 dispositivos e 140 servidores de comando e controle (C2) em 40 países. A descoberta se concentrou em um novo componente, o RPX_Client, que transforma dispositivos IoT vulneráveis em nós proxy para operações cibernéticas. O ataque foi detectado em 30 de maio de 2025, quando um arquivo ELF chamado ‘w’ começou a ser distribuído, inicialmente sem detecções no VirusTotal, sugerindo uma campanha furtiva. A maioria dos dispositivos infectados está localizada na Coreia do Sul (41,97%), seguida pela China (20,35%) e Tailândia (8,37%). Os alvos principais incluem câmeras de vigilância KT CCTV e gravadores de vídeo digitais da Shenzhen TVT, além de roteadores Asus e Cisco. A infraestrutura RPX_Server opera em servidores virtuais privados, principalmente na Alibaba Cloud e Tencent Cloud, utilizando um certificado PolarSSL idêntico, o que facilitou a validação dos servidores ativos. O design da botnet complica os esforços de atribuição, tornando a identificação de origens de ataques mais desafiadora.

Pesquisadores em cibersegurança alertam para um aumento significativo de ataques automatizados direcionados a servidores PHP, dispositivos IoT e gateways de nuvem, realizados por botnets como Mirai, Gafgyt e Mozi. Segundo o relatório da Qualys Threat Research Unit, os servidores PHP se tornaram alvos principais devido ao uso generalizado de sistemas de gerenciamento de conteúdo, como WordPress e Craft CMS, que frequentemente apresentam vulnerabilidades conhecidas e configurações inadequadas. Entre as falhas exploradas estão CVE-2017-9841, CVE-2021-3129 e CVE-2022-47945, que permitem execução remota de código. Além disso, os atacantes estão utilizando strings de consulta específicas para iniciar sessões de depuração, o que pode expor dados sensíveis. A Qualys também observou que as tentativas de exploração frequentemente se originam de infraestruturas de nuvem, como AWS e Google Cloud, evidenciando como serviços legítimos estão sendo usados para encobrir atividades maliciosas. A empresa recomenda que os usuários mantenham seus dispositivos atualizados, removam ferramentas de desenvolvimento em ambientes de produção e restrinjam o acesso público à infraestrutura de nuvem. A nova botnet AISURU, classificada como TurboMirai, é capaz de lançar ataques DDoS superiores a 20 Tbps, destacando a evolução das ameaças cibernéticas atuais.

Pesquisadores em cibersegurança identificaram o malware PolarEdge, um botnet que visa roteadores de marcas como Cisco, ASUS, QNAP e Synology. Documentado pela primeira vez em fevereiro de 2025, o PolarEdge utiliza uma falha de segurança conhecida (CVE-2023-20118) para se infiltrar nos dispositivos, baixando um script shell que executa um backdoor. Este backdoor, implementado em ELF e baseado em TLS, monitora conexões de clientes e pode executar comandos recebidos de um servidor de comando e controle (C2). PolarEdge opera em dois modos: um modo de conexão reversa e um modo de depuração, permitindo modificações em sua configuração. Além disso, o malware emprega técnicas de anti-análise para ocultar suas operações e não garante persistência após reinicializações, embora utilize processos filhos para reativar-se. A descoberta do PolarEdge é relevante, especialmente considerando a crescente integração de dispositivos IoT e a vulnerabilidade de roteadores, que são alvos comuns de ataques. A situação é agravada pela possibilidade de que o malware tenha começado a operar desde junho de 2023, indicando um período prolongado de atividade maliciosa.

A campanha de malware RondoDox tem se expandido, visando mais de 50 vulnerabilidades em mais de 30 fornecedores, incluindo dispositivos como roteadores, DVRs e NVRs. A Trend Micro identificou uma tentativa de invasão em 15 de junho de 2025, explorando uma falha de segurança em roteadores TP-Link. O RondoDox, documentado pela Fortinet em julho de 2025, utiliza uma abordagem de ’loader-as-a-service’, combinando suas cargas com as de outros malwares como Mirai e Morte, o que torna a detecção mais desafiadora. As vulnerabilidades abrangem marcas conhecidas como D-Link, NETGEAR e Cisco, com 18 delas sem identificador CVE. A campanha representa uma evolução significativa na exploração automatizada de redes, passando de ataques a dispositivos únicos para operações multivetoriais. Além disso, um botnet chamado AISURU, que opera principalmente a partir de dispositivos IoT comprometidos nos EUA, também está em ascensão, controlando cerca de 300.000 hosts globalmente. A atividade de botnets está crescendo, com um ataque coordenado envolvendo mais de 100.000 endereços IP de 100 países, com foco em serviços RDP nos EUA, a maioria dos quais se origina de países como Brasil e Argentina.

Uma campanha massiva e coordenada de botnets está atacando serviços de Protocolo de Área de Trabalho Remota (RDP) nos Estados Unidos. Desde 8 de outubro de 2025, a empresa de cibersegurança GreyNoise identificou mais de 100.000 endereços IP únicos envolvidos nos ataques, que se estendem por mais de 100 países. Os vetores de ataque principais incluem ataques de temporização de autenticação anônima do Microsoft RD Web Access e verificações de enumeração de login do Microsoft RDP Web Client. A análise revelou que a maioria dos IPs participantes compartilha impressões digitais TCP semelhantes, indicando uma infraestrutura centralizada de comando e controle. Os ataques focam especificamente em serviços RDP baseados nos EUA, com nós da botnet distribuídos em regiões como Brasil, Argentina, Irã, China, México, Rússia, África do Sul e Equador. Para se proteger, as organizações devem implementar configurações robustas de segurança RDP, como autenticação em nível de rede e autenticação multifatorial, além de monitorar tentativas de acesso e considerar restringir o acesso RDP através de VPNs.

Pesquisadores de segurança estão alertando sobre a nova botnet RondoDox, que explora 56 vulnerabilidades em mais de 30 tipos de dispositivos conectados à internet. Diferente de botnets tradicionais que costumam focar em uma única vulnerabilidade, RondoDox adota uma abordagem chamada ’exploit shotgun’, atacando múltiplas falhas simultaneamente, o que a torna barulhenta e facilmente detectável por defensores. Os dispositivos afetados incluem roteadores, câmeras de segurança e sistemas de DVR de marcas conhecidas como QNAP, D-Link e Netgear. A maioria das vulnerabilidades já possui patches disponíveis, o que facilita a defesa. As recomendações incluem manter o firmware atualizado, isolar redes e usar senhas fortes. A campanha ainda está ativa, e a rápida evolução das táticas de cibercriminosos indica um futuro preocupante para a segurança cibernética, com a exploração automatizada de infraestruturas antigas em larga escala.

A campanha de botnet RondoDox, identificada pela Trend Micro, tem se expandido para explorar mais de 50 vulnerabilidades em dispositivos de rede expostos à internet, como roteadores, sistemas de CFTV e servidores web. Desde sua primeira detecção em junho de 2025, a RondoDox tem utilizado uma abordagem de ‘shotgun exploit’, atacando múltiplas falhas simultaneamente. As vulnerabilidades exploradas incluem a CVE-2023-1389, que permite injeção de comandos em roteadores TP-Link, e outras como CVE-2024-3721 e CVE-2024-12856, que afetam DVRs e roteadores de diferentes fabricantes. A análise técnica revelou que 50% das falhas exploradas são de injeção de comandos, enquanto as demais incluem problemas de travessia de caminho e corrupção de memória. A campanha representa um risco elevado para organizações que operam dispositivos de rede expostos, permitindo a exfiltração de dados e comprometimento persistente da rede. A rápida evolução das técnicas de exploração exige que as empresas realizem atualizações imediatas e adotem medidas proativas de segurança.

Uma nova campanha de botnet, classificada como Loader-as-a-Service, tem se mostrado altamente eficaz na exploração de roteadores SOHO e dispositivos IoT, aumentando em 230% entre julho e agosto de 2025. A pesquisa da CloudSEK revelou que atacantes estão utilizando logs de comando e controle expostos para automatizar a injeção de comandos e entrega de payloads, como o Mirai. Os atacantes exploram parâmetros POST não sanitizados em interfaces de gerenciamento web, testando credenciais padrão e realizando injeções de comandos. Uma vez que o acesso é obtido, os dispositivos são mapeados para coleta de informações, como endereços MAC e versões de firmware, permitindo a instalação de binários maliciosos para recrutamento em DDoS ou mineração de criptomoedas. A campanha também se aproveita de CVEs conhecidos em pilhas empresariais, como falhas no Oracle WebLogic e vulnerabilidades em plugins do WordPress. A recomendação é implementar filtragem de saída para bloquear tráfego malicioso e reforçar a segurança das interfaces web expostas. A segmentação de redes IoT e a aplicação de patches de firmware são essenciais para mitigar os riscos associados a essa ameaça emergente.

A Cloudflare, empresa de segurança e redes, conseguiu mitigar um ataque DDoS que atingiu o pico recorde de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). O ataque, que durou apenas 40 segundos, é considerado o maior já registrado na história da internet. Este tipo de ataque visa sobrecarregar sistemas e recursos de rede, tornando serviços lentos ou indisponíveis. A Cloudflare já havia neutralizado um ataque anterior de 11,5 Tbps há três semanas, e um de 7,3 Tbps dois meses antes. O tráfego gerado pelo ataque recente foi comparado a transmitir um milhão de vídeos em 4K simultaneamente. A identidade da vítima não foi divulgada, mas a botnet AISURU, que infectou mais de 300.000 dispositivos, é apontada como responsável pelos ataques. Essa botnet tem como alvo dispositivos como câmeras IP e roteadores, aumentando sua atividade desde abril de 2025, após uma atualização comprometida de firmware de roteadores Totolink. O aumento de 358% nos ataques DDoS em 2025 destaca a crescente preocupação com a segurança cibernética.

Pesquisadores de cibersegurança revelaram detalhes sobre a nova botnet ShadowV2, que permite a locação de acesso para realizar ataques de negação de serviço distribuído (DDoS). Essa botnet, identificada pela empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores da Amazon Web Services (AWS). O malware, escrito em Go, transforma sistemas infectados em nós de ataque, integrando-os a uma rede maior de DDoS. A campanha utiliza um framework de comando e controle (C2) baseado em Python, hospedado no GitHub Codespaces, e se destaca pela sofisticação de suas ferramentas de ataque, incluindo métodos avançados como HTTP/2 Rapid Reset e bypass do modo Under Attack da Cloudflare.

Um novo relatório da Black Lotus Labs, da Lumen Technologies, revela a existência de uma rede de proxies chamada REM Proxy, que é alimentada pelo malware SystemBC. Este malware transforma computadores infectados em proxies SOCKS5, permitindo que os hosts infectados se comuniquem com servidores de comando e controle (C2) e baixem cargas adicionais. A REM Proxy é uma rede significativa, oferecendo cerca de 20.000 roteadores Mikrotik e uma variedade de proxies abertos disponíveis online. O SystemBC, documentado pela primeira vez em 2019, tem como alvo tanto sistemas Windows quanto Linux, e sua variante para Linux é utilizada principalmente para atacar redes corporativas e dispositivos IoT. A botnet é composta por mais de 80 servidores C2 e cerca de 1.500 vítimas diárias, com 80% delas sendo sistemas de servidores privados virtuais (VPS) comprometidos. A maioria dos servidores afetados apresenta várias vulnerabilidades conhecidas, com uma média de 20 CVEs não corrigidas por vítima. O malware é utilizado por grupos criminosos para realizar atividades maliciosas, como a força bruta de credenciais de sites WordPress, com o objetivo de vender essas credenciais em fóruns underground. O relatório destaca a resiliência operacional do SystemBC, que se estabeleceu como uma ameaça persistente no cenário de cibersegurança.

Em 1º de setembro de 2025, a Qrator.AntiDDoS conseguiu neutralizar um dos maiores ataques de negação de serviço distribuído (DDoS) da camada 7 já registrados, que envolveu 5,76 milhões de endereços IP únicos. O alvo foi uma organização do setor público, e o ataque ocorreu em duas ondas distintas. A primeira onda, com 2,8 milhões de dispositivos comprometidos, lançou um ataque de inundação HTTP, enquanto uma segunda onda, com cerca de 3 milhões de dispositivos, se juntou uma hora depois para intensificar o ataque. A Qrator bloqueou todos os IPs maliciosos, garantindo a continuidade dos serviços. Desde sua primeira aparição em março de 2025, a botnet cresceu rapidamente, com um aumento de 25% em três meses, sendo o Brasil o maior contribuinte, seguido por países como Vietnã e Estados Unidos. A botnet utiliza técnicas avançadas para contornar medidas de mitigação, ajustando dinamicamente os cabeçalhos das requisições e alternando entre ataques de alta intensidade e tráfego sustentado para esgotar os recursos dos servidores. Especialistas alertam que a rápida evolução dessa botnet exige que as organizações adotem estratégias de defesa em múltiplas camadas para se proteger contra esses ataques.

A FastNetMon, uma das principais fornecedoras de soluções de detecção e mitigação de DDoS, anunciou que conseguiu identificar e mitigar um ataque de negação de serviço distribuído (DDoS) sem precedentes, gerando 1,5 bilhão de pacotes por segundo (Gpps) contra um grande fornecedor na Europa Ocidental. Este ataque, que começou nas primeiras horas de 8 de setembro de 2025, foi principalmente um ataque de inundação UDP, projetado para sobrecarregar a capacidade do alvo de processar pacotes, em vez de saturar a largura de banda. Os atacantes utilizaram uma botnet composta por mais de 11.000 dispositivos, incluindo roteadores domésticos e câmeras IP, que foram comprometidos devido a vulnerabilidades não corrigidas e credenciais padrão. Pavel Odintsov, fundador da FastNetMon, alertou sobre o crescente uso de dispositivos de consumo inseguros como ferramentas de ataque. O incidente destaca a necessidade de estratégias de mitigação especializadas, uma vez que ataques de alta taxa de pacotes podem explorar gargalos de processamento, exigindo detecções e respostas rápidas. A situação é um lembrete da crescente complexidade e sofisticação das ameaças cibernéticas atuais.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

Pesquisadores de segurança da eSentire identificaram uma nova botnet e infostealer chamada NightshadeC2, que utiliza uma técnica inovadora chamada ‘UAC Prompt Bombing’ para contornar as defesas do Windows Defender. Essa técnica força as vítimas a aprovar exclusões no Windows Defender através de prompts repetidos, permitindo que o malware opere sem ser detectado. O NightshadeC2 possui variantes em C e Python, com a versão em C oferecendo uma gama completa de funcionalidades, como execução de comandos, captura de tela, keylogging e roubo de credenciais. A distribuição do malware ocorre por meio de ataques ClickFix, onde os usuários são levados a executar comandos maliciosos após interagir com CAPTCHAs falsificados. A técnica de ‘UAC Prompt Bombing’ não só permite que o malware evite a detecção pelo Windows Defender, mas também dificulta a análise em ambientes de sandbox, tornando-se um desafio significativo para a segurança cibernética. Em resposta, a eSentire implementou conteúdos de detecção e recomendações para mitigar os riscos associados, como desativar o prompt de execução do Windows e realizar treinamentos de conscientização sobre phishing. O caso do NightshadeC2 destaca a rápida evolução das táticas de ataque e a necessidade de estratégias de defesa adaptativas.

No dia 3 de setembro de 2025, a Cloudflare anunciou que conseguiu mitigar um ataque DDoS volumétrico recorde, que atingiu picos de 11,5 terabits por segundo (Tbps). O ataque, que durou apenas 35 segundos, foi classificado como um ‘flood’ UDP e teve origem principalmente na Google Cloud. A empresa destacou que, nas semanas anteriores, bloqueou centenas de ataques DDoS de alta volumetria, com o maior deles alcançando 5,1 Bpps. Os ataques volumétricos têm como objetivo sobrecarregar um servidor com um grande volume de tráfego, resultando em lentidão ou falhas no serviço. Além disso, esses ataques podem servir como uma cortina de fumaça para ataques mais sofisticados, permitindo que os invasores explorem vulnerabilidades e acessem dados sensíveis. A Cloudflare já havia reportado um ataque DDoS de 7,3 Tbps em maio de 2025, e a quantidade de ataques DDoS hiper-volumétricos aumentou significativamente no segundo trimestre de 2025. O artigo também menciona a operação de desmantelamento de uma botnet chamada RapperBot, que visava dispositivos IoT, como gravadores de vídeo em rede (NVRs), para realizar ataques DDoS. Essa situação ressalta a necessidade de vigilância constante e atualização das defesas de segurança em um cenário de ameaças em evolução.

Pesquisadores em cibersegurança alertam sobre campanhas que exploram vulnerabilidades conhecidas, expondo servidores Redis a atividades maliciosas, como botnets IoT e mineração de criptomoedas. A exploração da vulnerabilidade CVE-2024-36401, com uma pontuação CVSS de 9.8, permite que criminosos implantem kits de desenvolvimento de software (SDKs) legítimos ou aplicativos modificados para gerar renda passiva através do compartilhamento de rede. Os atacantes têm acessado instâncias do GeoServer expostas na internet desde março de 2025, utilizando um servidor de compartilhamento de arquivos privado para distribuir executáveis personalizados. Esses aplicativos consomem poucos recursos e monetizam a largura de banda dos usuários sem a necessidade de malware tradicional.

Ethan Foltz, um jovem de 22 anos do Oregon, foi acusado de desenvolver e gerenciar uma botnet de DDoS chamada RapperBot, que tem sido utilizada para realizar ataques em larga escala em mais de 80 países desde 2021. O Departamento de Justiça dos EUA informou que Foltz enfrenta uma acusação de auxílio e cumplicidade em intrusões de computador, podendo pegar até 10 anos de prisão se condenado. A botnet RapperBot, também conhecida como ‘Eleven Eleven Botnet’ e ‘CowBot’, compromete dispositivos como gravadores de vídeo digitais e roteadores Wi-Fi, utilizando malware especializado. Os clientes da RapperBot podem emitir comandos para esses dispositivos infectados, forçando-os a enviar grandes volumes de tráfego DDoS para servidores e computadores ao redor do mundo. A botnet é inspirada em outras como fBot e Mirai, e foi documentada pela primeira vez em 2022. A investigação revelou que Foltz e seus cúmplices monetizaram a botnet, realizando mais de 370.000 ataques a 18.000 vítimas únicas, incluindo alvos na China, Japão, EUA, Irlanda e Hong Kong. A operação para desmantelar a RapperBot faz parte da iniciativa internacional Operation PowerOFF.