Fonte:

A equipe do laboratório Black Lotus, da empresa de segurança digital Lumen Technologies, relatou ter derrubado o tráfego de mais de 550 nódulos de comando e controle (C2) da botnet Aisuru/Kimwolf desde outubro de 2025. A rede criminosa de aparelho infectados é uma das maiores em ação nos tempos recentes, capaz de fazer ataques DDoS e hospedar tráfego malicioso a partir de proxies residenciais. Você faz parte de uma botnet? Descubra com esta ferramenta gratuita O que é um ataque DDoS? A Kimwolf, seção voltada ao Android da Aisuru, teve detalhes revelados publicamente pela QiAnXin XLab, em dezembro, mostrando que aparelhos de TV Box Android foram infectados pelo SDK ByteConnect pré-instalado ou adquirido por meio de aplicativos clandestinos. Infectando mais de 2 milhões de dispositivos, a botnet ainda capitalizou em cima das invasões ao cobrar para realocar banda larga de vítimas e vender serviços de DDoS. O tamanho da Aisuru e seu combate Segundo a Black Lotus Labs, um grupo de conexões SSH residenciais foi identificado em setembro do ano passado, vindo de vários endereços IP canadenses, trabalhando como C2 da Aisuru. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- A botnet Kimwolf, descoberta recentemente e ligada à Aisuru, invade dispositivos Android para os ataques de DDoS (Imagem: XLab/Divulgação) O domínio ultrapassou o Google na lista da Cloudflare de top 100 domínios em novembro, demonstrando o tamanho da rede maliciosa. Outro domínio C2, descoberto em outubro, revelou que os hackers compartilhavam arquivos clandestinos em um servidor Discord chamado resi.to. No mesmo mês, um aumento de 300% nos bots da Kimwolf em apenas 7 dias, chegando a 800.000 bots em meados de outubro, foi observado. Quase todos foram listados para venda em um serviço de proxies residenciais. A arquitetura da Kimwolf escaneou, ainda, serviços como o PYPROXY em busca de dispositivos vulneráveis para integrar à botnet. Após um null route (desvio do servidor para sua inutilização) bem-sucedido em outubro, os cibercriminosos se moveram para outro IP, ligado ao Resi Rack LLC. Segundo a Black Lotus, as atividades maliciosas têm usado cada vez mais aparelhos domésticos para se esconder em meio ao tráfego comum: datacenters e endereços de provedores conhecidos são mais facilmente identificados. A atividade evita mecanismos de detecção automáticos e passa despercebida por mais tempo, dando mais trabalho aos pesquisadores de segurança. Leia também no Canaltech: Ciberataques na Oceania mostram mudança de estratégia de hackers Hackers “sequestram” comentários do LinkedIn para espalhar malware Microsoft bloqueia serviço global de assinatura de crimes digitais VÍDEO | TV BOX SÃO SEGURAS? É ILEGAL? #Shorts   Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.