Evolução do ecossistema de ameaças Mirai
A internet viu um aumento acentuado nas ameaças impulsionadas por botnets no último ano, com grande parte da atividade rastreando-se até uma das famílias de malware mais influentes da história moderna — Mirai. Descoberto pela primeira vez em 2016, o Mirai foi construído para escanear a internet em busca de dispositivos de Internet das Coisas (IoT) executando processadores ARC, que operam uma versão simplificada do Linux. Os atacantes ganharam acesso a esses dispositivos explorando falhas de segurança conhecidas ou fazendo login com credenciais de fábrica padrão que a maioria dos usuários nunca altera.
Escala do crescimento
O que começou como uma ferramenta focada em lançar ataques DDoS cresceu desde então em um ecossistema de ameaças abrangente com centenas de variantes ativas agora mirando milhões de dispositivos em todo o mundo. A liberação pública do código-fonte do Mirai abriu as portas para inúmeros atores de ameaças construírem suas próprias versões. O Spamhaus registrou um aumento de 26% em servidores de comando e controle (C2) de botnets na primeira metade de 2025, seguido por outro aumento de 24% entre julho e dezembro de 2025.
Variantes Aisuru e Kimwolf
Pesquisadores da Pulsedive identificaram e rastrearam várias botnets baseadas em Mirai ativas, com Aisuru e Kimwolf emergindo como as mais destrutivas. Juntas, essas duas variantes — frequentemente referidas como Aisuru-Kimwolf — comprometeram entre um e quatro milhões de hosts em todo o mundo. A Cloudflare documentou que o Aisuru-Kimwolf está por trás de alguns dos maiores ataques DDoS já registrados, incluindo uma inundação de 31,4 terabits por segundo e um assalto de 14,1 bilhões de pacotes por segundo.
Infraestrutura e evasão
Os operadores por trás do Aisuru-Kimwolf transformaram sua infraestrutura em um negócio criminoso, vendendo acesso a dispositivos comprometidos através de plataformas como Discord e Telegram. Em 19 de março de 2026, o Departamento de Justiça dos EUA anunciou ações de interrupção autorizadas por tribunal contra os servidores C2 que suportam as botnets Aisuru, KimWolf, JackSkid e Mossad, com operações de aplicação da lei abrangendo Canadá e Alemanha.
Kimwolf e dispositivos Android
O Kimwolf é uma subvariante focada em Android do Aisuru, construída para mirar dispositivos móveis e Smart TVs. Ele infectou aproximadamente dois milhões de dispositivos Android globalmente, aproveitando as mesmas capacidades DDoS do Aisuru, mas modificadas para funcionar em sistemas Android. Uma vez que um dispositivo vulnerável é alcançado, o Kimwolf executa um script de instalação que baixa arquivos .apk de um servidor controlado pelo atacante. O script torna cada arquivo executável e os executa em sequência, mirando diferentes arquiteturas de CPU para infectar o maior número de dispositivos possível.
Abuso de proxy residencial
Além de ataques DDoS, as botnets foram usadas para abusar de redes de proxy residencial, roteando o tráfego de ataque através de endereços IP pertencentes a moradores comuns, tornando a atividade muito mais difícil de rastrear. Após a Google e o DOJ interromperem a infraestrutura de proxy residencial IPIDEA ligada ao Kimwolf, surgiram relatos de que a botnet havia mudado para o The Invisible Project (I2P), uma rede de comunicações descentralizada e criptografada projetada para anonimizar o tráfego.
Recomendações para CISOs
Provedores de rede frequentemente oferecem soluções de proteção DDoS que podem detectar e bloquear tráfego impulsionado por botnets, e as organizações devem aproveitar totalmente essas ferramentas. Serviços de DNS protetores podem filtrar consultas de domínio suspeitas antes que elas alcancem sistemas internos. Dispositivos de rede acessíveis publicamente, especialmente roteadores, devem ser corrigidos consistentemente. Credenciais padrão em todos os equipamentos de rede devem ser substituídas por senhas fortes e únicas durante a configuração inicial e nunca devem ser deixadas inalteradas.
Perguntas frequentes
- Qual o maior ataque DDoS registrado? 31,4 terabits por segundo pelo Aisuru-Kimwolf.
- Como o Kimwolf se espalha? Via downloads de .apk em dispositivos Android.
- O que fazer contra botnets? Mudar senhas padrão e usar proteção DDoS.