Hack Alerta

Netdragon infecta NAS Feiniu (fnOS) e já atingiu ~1.500 dispositivos, diz X Lab

Por Redação Hack Alerta Publicado em 12/02/2026 14:02 Riscos e Ameaças Tempo de leitura: 2 min

Análise do Qi An Xin X Lab aponta que campanha Netdragon infectou cerca de 1.500 NAS Feiniu (fnOS) até janeiro, instalando backdoor HTTP, loader modular e componente DDoS; o malware apaga rsa_private_key.pem e cria persistência com serviço user‑space e módulo de kernel.

Pesquisadores do Qi An Xin X Lab identificaram uma campanha que compromete dispositivos NAS Feiniu (fnOS) e consome unidades para inclusão em um botnet chamado Netdragon, explorando vulnerabilidades não divulgadas no produto.

Escopo e detecção

Conforme o relatório, a campanha infectou aproximadamente 1.500 dispositivos até o final de janeiro. As vítimas reportadas estão espalhadas geograficamente, com concentrações na China, Estados Unidos e Singapura, afetando setores que incluem serviços de software e administração pública.

Mecanismo de infecção e payload

Os atacantes exploram serviços expostos nos NAS para implantar uma interface backdoor HTTP e, em seguida, instalar um sistema modular composto por um loader e um componente de DDoS. Além de recrutar os dispositivos para ataques de negação de serviço, o malware foi observado removendo o arquivo rsa_private_key.pem — ação que representa um risco severo e possivelmente permanente para a segurança dos dados no aparelho.

Persistência e evasão

O Netdragon mantém redundância por meio de um foothold duplo: um serviço em user space (por exemplo, dockers.service) e um módulo de kernel (async_memcpys.ko). A campanha também manipula o arquivo /etc/hosts para redirecionar o domínio oficial de atualizações para 0.0.0.0, impedindo que o dispositivo receba patches e atualizações oficiais.

Contenção e recuperação

  • Remover regras de firewall injetadas (nft/iptables) que bloqueiem medidas de remoção.
  • Localizar e excluir o módulo de kernel malicioso (async_memcpys.ko) e o serviço de usuário adverso (dockers.service).
  • Restaurar o arquivo /etc/hosts para reabilitar o caminho de atualização e monitorar portas de backdoor (porta observada: 57199).

Limitações do relatório

O relatório técnico oferece um mapeamento de ativos e instruções de remediação, mas não publica uma lista pública de CVEs exploradas (as vulnerabilidades foram descritas como não divulgadas). Assim, administradores devem assumir exposição até que fabricantes liberem correções formais.

Fonte: análise do Qi An Xin X Lab reportada por Cyber Security News.

Baseado em publicação original de Cyber Security News
Tags: #iot #nas #netdragon #feiniu #kernel-module #ddos #backdoor #forensics #remediation
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar