Um novo botnet chamado KadNap está ativo desde o verão de 2025. Identificado por pesquisadores do Black Lotus Labs, ele ataca principalmente roteadores Asus. Em apenas alguns meses, quase 14.000 dispositivos foram comprometidos em todo o mundo e os seus endereços IP foram colocados para aluguer.
No final do verão passado, apareceu uma nova botnet: KadNap. Identificada por pesquisadores do Black Lotus Labs, a botnet tem como alvo principal roteadores e equipamentos de rede expostos na Internet. Muito rapidamente, a rede de dispositivos sob o controle do KadNap cresceu.
Entre agosto de 2025 e o início de 2026, o malware conseguiu infectar cerca de 14.000 dispositivos. Estes são principalmente roteadores da marca Asus. Mais de 60% dos roteadores hackeados estão em solo americano. Os demais dispositivos controlados pela Kadnap estão localizados em Taiwan, Hong Kong e Rússia.
Leia também: Como saber se uma botnet invadiu seu smartphone, PC, TV ou caixa de Internet?
Nos bastidores da botnet KadNap
Após investigação, os pesquisadores notaram que nem todos os dispositivos infectados com KadNap recebem instruções dos mesmos servidores. Especialistas identificaram uma primeira infraestrutura de controleprojetado especificamente para controlar roteadores Asus hackeados. Além deste servidor, os hackers contam com outras duas infraestruturas de controlo, o que torna toda a operação particularmente resiliente.
Para evitar ser desmantelado, o KadNap não depende de um único servidor de comando, mas de uma rede de dispositivos infectados que enviam informações entre si. Este sistema, inspirado numa tecnologia P2P chamada Kademlia, torna muito mais difícil a identificação dos computadores que controlam na verdade, a botnet. Concretamente, os hackers usam esta tecnologia “para ocultar o endereço IP de sua infraestrutura dentro de um sistema peer-to-peer e assim escapar do monitoramento de rede tradicional”.
No entanto, os cibercriminosos cometeram um erro na implementação do seu protocolo. Os pesquisadores descobriram, portanto, que o KadNap quase sempre passa pelas mesmas duas máquinas antes de chegar aos seus servidores de pedidos. Foi assim possível identificar a infra-estrutura de controlo que realmente está à frente da botnet.
De acordo com as investigações do Black Lotus Labs, a infecção começa quando o roteador baixa um pequeno programa malicioso na forma de um script. Este script é instalado no sistema e cria uma tarefa agendada que é reiniciada automaticamente a cada 55 minutos. Essa tática permite que o vírus permaneça ativo mesmo se o dispositivo for reiniciado ou alguns arquivos forem excluídos. Feito isso, o script baixa a carga maliciosa real para o roteador.
Leia também: Um “bombardeio sem precedentes” – uma botnet lançou um novo ataque cibernético recorde
Um endereço IP alugado para hackers
Assim que assumir o controle, o malware KadNap transformará o roteador comprometido em um proxy. Em outras palavras, os hackers alugar o endereço IP do roteador para outros cibercriminosos. Obviamente, eles irão usá-lo para passar todo o tráfego malicioso sem o conhecimento do proprietário do dispositivo. Assim, eles passam despercebidos. Para fazer isso, os hackers por trás do KadNap consultarão primeiro o endereço IP do roteador que acabaram de infectar. Desta forma, poderão informar aos seus futuros clientes de onde vem o endereço IP que lhes disponibilizam.
As investigações mostraram que o botnet KadNap realmente alimenta Sósiauma loja online que disponibiliza proxies para usuários da Internet. Os pesquisadores acreditam que este é provavelmente o novo nome do Faceless, um serviço de proxy associado ao botnet TheMoon. Este botnet também se especializou em hackear roteadores Asus. A plataforma foi projetada especificamente “para atividades criminosas”. Uma vez hackeados e alugados na Doppelganger, os roteadores serão usados como parte de ataques DDoS (Distributed Denial of Service), destinados a saturar servidores de sites, ou mesmo ataques de força bruta, para quebrar uma senha.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.