Investigadores de segurança descobriram uma nova ameaça informática conhecida como KadNap, que está a atacar ativamente routers da ASUS e outros equipamentos de rede. Segundo os detalhes avançados pelo portal BleepingComputer, o objetivo desta botnet é transformar os dispositivos infetados em proxies para encaminhar tráfego malicioso de forma oculta.
Em operação desde agosto de 2025, o KadNap já infetou cerca de 14.000 equipamentos, formando uma rede peer-to-peer (P2P). A maioria dos dispositivos comprometidos, cerca de 60%, encontra-se nos Estados Unidos, seguindo-se outros territórios afetados como Taiwan, Hong Kong e Rússia. Os dados foram revelados pela equipa de investigação Black Lotus Labs, pertencente à Lumen Technologies.
Comunicação oculta e persistência no sistema
A infeção tem início com o descarregamento de um script malicioso que garante a sua persistência através de uma tarefa programada para ser executada a cada 55 minutos. A partir daí, o sistema instala um binário que ativa o cliente da botnet. Para se manter ativo, o malware verifica o endereço IP externo do equipamento e sincroniza o tempo através de servidores genéricos na rede.
Para evitar a deteção e resistir a tentativas de bloqueio, os criadores do KadNap implementaram uma versão modificada do protocolo Kademlia Distributed Hash Table (DHT). Este sistema descentralizado permite que os nós da rede localizem a infraestrutura de comando e controlo (C2) de forma dinâmica, dificultando o trabalho dos especialistas em segurança que tentam rastrear e isolar os servidores principais. No entanto, os investigadores notaram que a ligação passa frequentemente por dois nós específicos antes de atingir o servidor central, o que acabou por expor parte da operação.
Rentabilização através de serviços proxy
O principal propósito desta infraestrutura é puramente financeiro. A equipa da Black Lotus Labs associa o KadNap ao serviço de proxies residenciais Doppelganger, que se suspeita ser uma reformulação do antigo serviço Faceless. Este último já tinha sido associado no passado à botnet TheMoon, que também se focava em equipamentos da mesma marca asiática.
O acesso aos equipamentos infetados é vendido a terceiros no mercado paralelo, sendo frequentemente utilizado para lançar ataques de negação de serviço (DDoS), preenchimento de credenciais e ataques de força bruta. Numa tentativa de travar a propagação, a Lumen Technologies já tomou medidas proativas, bloqueando todo o tráfego de rede associado aos servidores de comando e controlo identificados na sua rede, e prepara-se para divulgar os indicadores de comprometimento para ajudar outras entidades a mitigar a ameaça nos seus próprios sistemas.
Nenhum comentário
Seja o primeiro!