A equipe Black Lotus Labs da Lumen Technologies informou que filiou e null‑rotou tráfego para mais de 550 servidores de comando e controle (C2) associados aos botnets AISURU e Kimwolf desde outubro de 2025. Os botnets têm versões para Linux/IoT e Android, respectivamente, e são usados em ataques DDoS e operações ilícitas em larga escala.
Resumo da ação
A intervenção consistiu em medidas de mitigação de rede (null‑routing) para impedir que tráfego malicioso alcançasse os C2 identificados. Segundo o relatório técnico da Black Lotus Labs, a ação começou em outubro de 2025 e segue como parte de esforços contínuos para desconectar infraestrutura de botnets.
Característica dos botnets
AISURU e Kimwolf aparecem nas investigações como famílias capazes de escravizar dispositivos — incluindo dispositivos Android no caso do Kimwolf — e coordenar ataques de negação de serviço distribuída (DDoS). A análise não apresenta, no trecho público, uma contagem consolidada de dispositivos infectados, embora a URL da publicação sugira números elevados; o comunicado oficial citado pelo veículo limita‑se a confirmar o bloqueio de mais de 550 C2s.
Vetor e persistência
Relatórios prévios sobre essas famílias indicam que a cadeia de infecção aproveita aplicações maliciosas e mecanismos de persistência típicos de botnets móveis e IoT. No entanto, a nota técnica recente destaca principalmente a identificação da infraestrutura e as ações de mitigação em nível de roteamento.
Limitações e dados não divulgados
A comunicação pública não detalha indicadores (IPs/dominios) disponibilizados para operadores de rede, nem fornece informações sobre possíveis responsáveis ou se houve coordenação com autoridades para remoção definitiva dos servidores. Também não há explicitação de impacto por país ou setores afetados.
Implicações para operadores e provedores
- Provedores de trânsito e operadoras devem monitorar listas de C2 e colaborar com grupos como Black Lotus Labs para mitigar ressurgência.
- Equipes de segurança devem revisar controles de filtragem e aplicar regras de bloqueio para IOCs que vierem a ser publicados oficialmente.
Observações finais
A ação da Lumen reduz a capacidade operacional imediata dos botnets ao interromper comunicação entre bots e seus controladores. Ainda assim, ações de null‑route são mitigação reativa e dependem de identificação contínua da infraestrutura; atores podem migrar C2s para provedores menos vigilantes ou usar serviços de infraestrutura terceirizada para retomar operações.
Fonte: The Hacker News — relatório baseado em comunicado da Black Lotus Labs (Lumen Technologies).