A investigação também revelou ligações entre a infraestrutura das botnets e provedores de hospedagem utilizados para sustentar serviços de proxy. A infraestrutura criminosa explorava dispositivos de consumo como proxies residenciais para ataques DDoS, fraudes online e evasão de sistemas de detecção
Pesquisadores de segurança conseguiram bloquear mais de 550 servidores de comando e controle (C2) associados às botnets Kimwolf e Aisuru, consideradas algumas das maiores infraestruturas maliciosas dos últimos anos. Segundo reportagem publicada hoje pelo The Hacker News, as botnets chegaram a infectar mais de 2 milhões de dispositivos Android, explorando principalmente equipamentos de streaming e redes residenciais para sustentar ataques distribuídos e operações de proxy malicioso.
A operação foi conduzida pela equipe Black Lotus Labs, da Lumen Technologies, que informou ter redirecionado o tráfego de mais de 550 nós C2 desde o início de outubro de 2025, interrompendo temporariamente a capacidade operacional das botnets.
O que são as botnets Kimwolf e Aisuru
As botnets AISURU e Kimwolf se destacaram pela escala e pela estratégia de exploração de dispositivos de consumo. De acordo com a Black Lotus Labs, essas infraestruturas eram capazes de controlar dispositivos comprometidos para executar ataques distribuídos de negação de serviço (DDoS) e retransmitir tráfego malicioso por meio de redes de proxy residencial, dificultando a identificação das atividades criminosas.
O Kimwolf, em particular, possui uma variante voltada para Android e ganhou notoriedade após análises técnicas revelarem sua capacidade de transformar dispositivos infectados em nós proxy, alugados posteriormente para terceiros interessados em anonimizar atividades maliciosas.
Como a infraestrutura foi descoberta e interrompida
A Black Lotus Labs informou que, em setembro de 2025, identificou padrões suspeitos de conexões SSH residenciais originadas de múltiplos endereços IP no Canadá, vinculadas ao backend de comando e controle da botnet Aisuru. A investigação levou à identificação de domínios e endereços IP utilizados como servidores C2, alguns dos quais chegaram a figurar entre os domínios mais acessados globalmente, segundo rankings da Cloudflare.
Após ações de bloqueio e redirecionamento de tráfego, os operadores das botnets migraram parte da infraestrutura para novos endereços IP, o que permitiu aos pesquisadores acompanhar o movimento e mapear a arquitetura distribuída usada para manter a operação ativa.
Infecção em larga escala e monetização criminosa
Análises anteriores, citadas pelo The Hacker News, já indicavam que o malware Kimwolf era disseminado por meio de um kit de desenvolvimento chamado ByteConnect, distribuído diretamente ou embutido em aplicativos suspeitos pré-instalados. Dispositivos Android com o serviço Android Debug Bridge (ADB) exposto foram alvos prioritários, o que facilitou a propagação automática do malware dentro de redes residenciais.
O resultado foi uma infecção em massa que ultrapassou 2 milhões de dispositivos Android. Relatórios complementares apontaram que operadores ligados ao Kimwolf tentavam monetizar essa infraestrutura, vendendo largura de banda de proxy residencial mediante pagamento antecipado, transformando a botnet em um ativo comercial no ecossistema do cibercrime.
Conexões com serviços de proxy e hospedagem
A investigação também revelou ligações entre a infraestrutura das botnets e provedores de hospedagem utilizados para sustentar serviços de proxy. Segundo o The Hacker News, essa conexão ganhou relevância após reportagens do jornalista independente de segurança cibernética Brian Krebs, ex–The Washington Post e atualmente editor do site Krebs on Security.
Krebs revelou que operadores de serviços de proxy baseados em botnets estariam comercializando seus softwares maliciosos por meio de servidores no Discord, expondo a existência de um mercado estruturado para a venda de acesso a dispositivos residenciais comprometidos.
O que poderia acontecer se o ataque fosse concluído
Caso a infraestrutura não tivesse sido interrompida, o impacto potencial seria expressivo. Com centenas de milhares de dispositivos residenciais sob controle, os operadores das botnets teriam capacidade de lançar ataques DDoS em larga escala contra serviços críticos, plataformas financeiras, empresas de tecnologia e órgãos governamentais, dificultando a atribuição e a mitigação.
Além disso, o uso de proxies residenciais permitiria a realização de fraudes online, disseminação de malware, bypass de controles antifraude e abuso de serviços digitais, já que o tráfego malicioso se apresentaria como legítimo. Usuários finais também seriam diretamente afetados, com seus dispositivos e conexões utilizados em atividades criminosas sem consentimento ou conhecimento.
Por que proxies residenciais tornam a ameaça mais grave
Um dos aspectos mais preocupantes desse tipo de botnet é o uso de IPs residenciais. Diferentemente de endereços associados a data centers ou provedores de hospedagem conhecidos, esses IPs operam abaixo do radar de muitas listas de reputação e feeds tradicionais de inteligência de ameaças.
Relatórios citados pelo The Hacker News destacam que a classificação legítima desses endereços permite que o tráfego malicioso se disfarce de atividade comum do consumidor, evitando mecanismos de detecção que sinalizariam rapidamente solicitações originadas de infraestruturas suspeitas.
Mitigações e lições para o mercado
Especialistas apontam que mitigar ameaças desse tipo exige uma abordagem em múltiplas camadas. Fabricantes de dispositivos precisam adotar práticas de segurança por design, com firmware atualizado, serviços desnecessários desativados por padrão e bloqueio de interfaces como o ADB em ambientes de produção.
Provedores de internet e empresas de infraestrutura têm papel central na detecção de padrões anômalos de tráfego e na cooperação para ações coordenadas de bloqueio de servidores C2. Já empresas e organizações devem reforçar seus mecanismos de detecção, considerando que tráfego malicioso pode se originar de IPs residenciais aparentemente confiáveis.
O caso das botnets Kimwolf e Aisuru reforça uma tendência clara no cibercrime moderno: a transformação de dispositivos de consumo em infraestrutura crítica para ataques em múltiplas etapas, elevando a importância da segurança de rede, da identidade de dispositivos e da colaboração entre pesquisadores, empresas e provedores de serviços digitais.
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Siga o Crypto ID no LinkedIn agora mesmo!
