Botnet KadNap Expande Ataque a Roteadores Asus
Cybersecurity researchers have discovered a new malware called KadNap that's primarily targeting Asus routers to enlist them into a botnet for proxying malicious traffic. The malware, first detected in the wild in August 2025, has expanded to over 14,000 infected devices, with more than 60% of victims located in the U.S., according to the Black Lotus Labs team at Lumen.
Escala e Impacto Operacional
A campanha de infecção representa um crescimento significativo na infraestrutura de botnets voltadas para o uso de recursos de rede comprometidos. Com mais de 14.000 dispositivos comprometidos, a rede KadNap oferece uma capacidade substancial para rotear tráfego malicioso, dificultando a atribuição de origem e o bloqueio de atividades criminosas.
A predominância de vítimas nos Estados Unidos (60%) sugere uma focalização inicial em mercados com alta densidade de dispositivos de rede domésticos e de pequenas empresas, onde a segurança de roteadores muitas vezes é negligenciada. A infraestrutura comprometida é utilizada para criar uma rede de proxies, facilitando ataques subsequentes que exigem anonimato ou distribuição geográfica.
Vetor de Infecção e Alvos
O malware foca especificamente em roteadores da marca Asus, explorando vulnerabilidades de configuração ou falhas de segurança não corrigidas em dispositivos de borda (edge devices). A escolha por roteadores de consumo e pequenas empresas amplia a superfície de ataque, pois esses dispositivos frequentemente operam sem atualizações de firmware regulares.
A detecção inicial em agosto de 2025 indica que a campanha tem operado de forma silenciosa por vários meses antes de atingir a escala atual. A equipe da Black Lotus Labs, parte da Lumen, foi responsável por identificar e monitorar a expansão da rede, fornecendo dados críticos sobre a distribuição geográfica dos infectados.
Implicações para CISOs
Para profissionais de segurança, o caso KadNap reforça a necessidade de monitoramento contínuo de dispositivos de borda e roteadores. A exploração de hardware de rede para fins de proxy pode ser um precursor para ataques mais complexos, incluindo DDoS e exfiltração de dados.
A recomendação é revisar as configurações de segurança de todos os roteadores na infraestrutura, garantir que o firmware esteja atualizado e implementar segmentação de rede para limitar o impacto de dispositivos comprometidos. A visibilidade sobre o tráfego de saída de dispositivos de borda deve ser priorizada para detectar comportamentos anômalos de proxy.