Introdução
Uma nova ameaça emergiu no submundo cibernético com a apresentação da Botnet Void, uma infraestrutura de comando e controle (C2) que desafia as capacidades tradicionais de resposta a incidentes. Diferente das botnets convencionais que dependem de servidores centralizados ou domínios registrados, a Void Botnet utiliza contratos inteligentes na rede Ethereum para gerenciar suas operações. Essa abordagem coloca a infraestrutura de comando fora do alcance de autoridades e equipes de segurança que normalmente realizam apreensões de servidores ou bloqueios de domínios.
Identificada pela Qrator Labs e publicada em 18 de maio de 2026, a ameaça representa uma evolução significativa na resiliência de operações criminosas. O malware foi desenvolvido por um ator conhecido como TheVoidStl, operando sob o alias nikoniko, e foi oferecido no mercado de crimes cibernéticos desde março de 2026.
Arquitetura Técnica e Linguagem de Programação
A Void Botnet é escrita em Rust, uma linguagem de programação conhecida por sua segurança de memória e desempenho. O binário resultante é leve, com apenas 1,5 MB, o que facilita a distribuição e reduz a chance de detecção por soluções de segurança baseadas em tamanho de arquivo ou heurísticas de comportamento. O loader suporta sistemas Windows de 32 e 64 bits, garantindo compatibilidade com a vasta maioria das estações de trabalho corporativas.
O design do malware reflete um planejamento cuidadoso para permanecer oculto e manter a conectividade mesmo sob condições adversas de rede ou ferramentas defensivas. A arquitetura permite que o operador execute uma ampla gama de tarefas pós-comprometimento, incluindo campanhas de DDoS, roubo de credenciais e operações de proxy-as-a-service.
Mecanismo de Comando e Controle Baseado em Blockchain
O núcleo da inovação da Void Botnet reside em seu sistema de C2 dual-mode. No modo descentralizado, o operador escreve instruções diretamente em um contrato inteligente Ethereum. As máquinas infectadas consultam esse contrato em intervalos regulares, buscando novas tarefas dentro de três a cinco minutos.
Essa abordagem elimina a necessidade de servidores tradicionais, domínios ou registradores. Não há ponto único de falha que possa ser desligado por uma autoridade governamental ou equipe de resposta a incidentes. Os comandos residem em um blockchain público, onde a imutabilidade e a descentralização garantem a sobrevivência da infraestrutura de comando.
O segundo modo conecta as máquinas diretamente ao painel web do operador, permitindo que as tarefas sejam concluídas em menos de trinta segundos. O operador pode alternar entre os modos a qualquer momento atualizando o contrato inteligente. Essa flexibilidade permite que o atacante escolha a velocidade quando as condições permitirem e recorra ao canal blockchain resiliente quando necessário para proteção contra tentativas de derrubada.
Painel do Operador e Capacidades de Tarefa
O painel de operador fornece uma visão detalhada de cada máquina infectada, incluindo localização, sistema operacional, software antivírus ativo e privilégios de administrador. As tarefas podem ser enviadas para máquinas individuais ou para toda a frota, com filtragem opcional por país para suportar campanhas regionais direcionadas.
O painel suporta quatorze tipos de tarefas. Os payloads podem ser entregues como executáveis, DLLs, pacotes MSI ou scripts PowerShell. Um modo de execução dedicado em memória carrega binários diretamente no processo, sem tocar no disco, contornando defesas que dependem de varredura baseada em arquivos.
Tarefas de shell reverso e PowerShell abrem sessões interativas em tempo real nas máquinas comprometidas. As funções SelfDelete e SelfUpdate permitem que o operador limpe ou atualize o agente sob demanda. A persistência é estabelecida por meio de uma tarefa agendada introduzida na atualização v1.1.
Indicadores de Comprometimento (IoCs)
Os indicadores de comprometimento operacionais incluem o handle do ator de ameaça TheVoidStl, o alias do operador nikoniko e as ferramentas relacionadas TheVoidStealer, WallStealer e Void Miner. O mecanismo de C2 é baseado em contratos inteligentes Ethereum, com o primeiro avistamento em março de 2026. O modelo de precificação é Malware-as-a-Service, com custo de $600 mais $50 por build.
Implicações para CISOs e Equipes de SOC
A emergência da Void Botnet sinaliza uma mudança fundamental na forma como os criminosos pensam sobre resiliência e sobrevivência a longo prazo. A incapacidade de desligar servidores ou suspender domínios torna as medidas de segurança proativas, incluindo proteção anti-bot e mitigação de DDoS, mais críticas do que nunca.
As equipes de segurança devem monitorar tráfego de rede incomum que se assemelhe a chamadas de contrato inteligente ou interações com a blockchain Ethereum. A detecção deve focar em sinais comportamentais, como o uso de Rust para binários legítimos e a comunicação com endpoints não tradicionais.
Recomendações de Mitigação
1. Implementar monitoramento de tráfego de rede para identificar comunicações com contratos inteligentes Ethereum.
2. Revisar políticas de execução de binários, especialmente aqueles escritos em Rust ou com assinaturas incomuns.
3. Fortalecer a proteção contra DDoS e garantir que os serviços críticos tenham redundância.
4. Monitorar o painel de operador para identificar padrões de ataque regionais ou setoriais.
5. Manter-se atualizado sobre relatórios de inteligência de ameaças relacionados a botnets baseadas em blockchain.