Analistas da Infoblox identificaram uma campanha que compromete roteadores domésticos e redireciona consultas DNS para resolvers maliciosos hospedados em uma rede associada à Aeza International, usando técnicas de evasão baseadas em EDNS0.
Descoberta e escopo
O alerta nasceu da correlação entre diversos relatos de usuários com comportamento de navegação anômalo (redirecionamentos persistentes, falha de acesso a serviços específicos) e padrões DNS atípicos. A investigação apontou que roteadores vulneráveis foram reconfigurados para usar servidores recursivos maliciosos — em vez dos servidores dos provedores legítimos — e que a infraestrutura de resolução era hospedada em recursos ligados à Aeza International.
Mecanismo de ocultação: EDNS0
O aspecto técnico mais relevante é a tática de evasão: os resolvers maliciosos só respondem se a consulta DNS for enviada sem a extensão EDNS0 ativada. Ferramentas de varredura e a maioria dos resolvers legítimos usam EDNS0 por padrão; ao ignorar essas consultas, a infraestrutura maliciosa tornou‑se invisível para escaneamentos automáticos e muitos pesquisadores.
Fluxo final e TDS
Para evitar detecção e aumentar a eficácia, os operadores combinam o redirecionamento DNS com um segundo componente — um Traffic Distribution System (TDS) baseado em HTTP — que fingerprinta o dispositivo da vítima e entrega payloads ou anúncios fraudulentos apenas a alvos selecionados. Sites de grande tráfego podem ser servidos corretamente para reduzir suspeitas, enquanto destinos específicos disparam cadeias de redirecionamento maliciosas.
Alvos e impacto
Os atacantes concentram‑se em modelos antigos de roteadores que já não recebem atualizações de firmware, afetando todos os dispositivos conectados à rede doméstica. Usuários relataram problemas como impossibilidade de acessar Google Sheets e navegação “insana” que tipicamente leva à suposição de falha no endpoint em vez de no roteador.
Mitigação recomendada
- Auditar a configuração de DNS nos roteadores domésticos e corporativos para detectar servidores DNS não autorizados.
- Atualizar o firmware dos roteadores à versão mais recente disponível e substituir equipamentos obsoletos que não recebem patches de segurança.
- Verificar configurações de provisão automática de ISPs e bloquear alterações de DNS não autorizadas via gerenciamento remoto.
Limites das informações
As matérias consultadas descrevem a investigação da Infoblox e os métodos técnicos observados, mas não fornecem uma lista pública completa de IPs de infraestrutura maliciosa ou uma métrica consolidada do número total de roteadores comprometidos. Também não há, nos relatos, atribuição clara a atores específicos além da menção da infraestrutura Aeza.
Fonte: análise divulgada pela Infoblox e resumida em matéria do Cyber Security News.