Botnet transforma roteadores Asus em rede de proxies criminosos
Uma investigação conduzida por especialistas da empresa de segurança Lumen revelou uma botnet altamente persistente que já comprometeu mais de 14 mil roteadores, em sua maioria da marca Asus. Esses equipamentos domésticos e corporativos estão sendo convertidos em proxies usados como serviço pago por criminosos, alimentando uma infraestrutura clandestina que mascara a origem de ataques e fraudes online.
O grupo por trás da operação batizou o malware de KadNap. A partir dele, foi criado um serviço de proxy ilícito chamado Doppelganger, que comercializa o acesso aos roteadores contaminados. Quem paga pelo serviço pode rotear seu tráfego através desses dispositivos sequestrados, escondendo o próprio endereço IP e assumindo, temporariamente, um IP localizado na mesma região geográfica das vítimas que pretendem atacar. Isso facilita desde golpes financeiros até campanhas de phishing e fraudes em plataformas online.
Segundo o pesquisador Chris Formosa, da Lumen, a infecção não depende de falhas inéditas, mas explora vulnerabilidades já conhecidas em roteadores que não foram atualizados pelos proprietários. Em muitos casos, trata-se de bugs corrigidos há tempos pelos fabricantes, mas que continuam exploráveis porque o firmware nunca foi instalado ou porque o dispositivo permanece com configurações inseguras.
Um dos pontos mais perigosos do KadNap é o mecanismo de persistência. O malware grava no roteador um script em shell que é configurado para ser executado automaticamente a cada reinicialização do equipamento. Dessa forma, mesmo que um usuário desligue e ligue novamente o roteador na tentativa de “limpar” o sistema, o código malicioso volta a ser carregado, restaurando a infecção. Isso torna inúteis as tentativas de remoção baseadas apenas em reiniciar o aparelho.
Formosa destaca que, até o momento, não há indícios de uso de vulnerabilidades do tipo zero-day – aquelas desconhecidas pelos fabricantes e ainda sem correção disponível. A campanha se apoia, prioritariamente, em falhas já documentadas e em más práticas de segurança, como senhas fracas, portas abertas desnecessariamente e firmware desatualizado. Em outras palavras, o sucesso da botnet está diretamente ligado à negligência dos administradores desses roteadores.
Embora o maior volume de dispositivos comprometidos esteja concentrado nos Estados Unidos, os pesquisadores identificaram infecções em outras regiões, incluindo mercados menores como Taiwan, Hong Kong e Rússia. Essa dispersão geográfica aumenta o valor comercial do serviço de proxy, pois permite aos criminosos selecionar IPs em diferentes países e burlar mecanismos de detecção baseados em localização.
O que torna o KadNap especialmente difícil de derrubar é a sua arquitetura. A botnet utiliza um modelo peer-to-peer (P2P) apoiado no protocolo Kademlia, uma tecnologia de rede distribuída baseada em tabelas hash. Em vez de depender de um conjunto fixo de servidores centrais de comando e controle (C2), os nós da botnet se comunicam e distribuem informações entre si. Os endereços IP que desempenham um papel de coordenação ficam escondidos dentro dessa malha distribuída, o que dificulta o rastreamento e o bloqueio por parte de provedores, fabricantes e equipes de resposta a incidentes.
Estruturas baseadas em Kademlia e em outras DHTs (tabelas hash distribuídas) tornam a botnet intrinsecamente resiliente: mesmo que alguns nós sejam desligados, isolados ou tenham firmware atualizado, o restante da rede continua operando e redistribui rapidamente as funções entre os dispositivos ainda comprometidos. Isso contrasta com botnets tradicionais, em que a derrubada de um servidor de C2 central pode paralisar toda a operação criminosa.
Para remover o KadNap de forma efetiva, a recomendação dos pesquisadores é clara: é necessário realizar um reset de fábrica no roteador. Esse procedimento apaga todas as configurações personalizadas e também elimina o script de persistência instalado pelo malware. Apenas reiniciar o aparelho ou tentar remover manualmente arquivos maliciosos não é suficiente para garantir que a ameaça foi erradicada.
Após o reset, o dono do roteador deve, obrigatoriamente, instalar todas as atualizações de firmware oferecidas pelo fabricante. Em seguida, é fundamental alterar as credenciais de administração, escolhendo senhas longas, únicas e difíceis de adivinhar. Outra medida essencial é desabilitar o acesso remoto ao painel do roteador, a menos que essa funcionalidade seja realmente indispensável; quando for necessário mantê-la ativa, é recomendável restringir o acesso a IPs confiáveis e, sempre que possível, protegê-lo com VPN.
A Lumen também publicou indicadores de comprometimento (IoCs) associados ao KadNap, como padrões de tráfego, portas utilizadas e artefatos de software que podem ser usados para verificar se um equipamento está ou esteve comprometido. Administradores de rede e equipes de segurança podem empregar esses indicadores em sistemas de monitoramento, firewalls de próxima geração e soluções de detecção de intrusão para identificar e bloquear comunicações associadas à botnet.
Além da resposta imediata, o caso do KadNap expõe um problema estrutural: roteadores domésticos e de pequeno porte costumam ser tratados como “caixas pretas” que só recebem atenção quando a conexão cai. Em muitos ambientes, esses dispositivos ficam anos sem atualizações, usando o firmware original de fábrica, com senhas padrão e serviços desnecessários habilitados. Isso transforma milhões de equipamentos em potenciais portas de entrada para campanhas de botnet semelhantes.
Para o usuário comum, há alguns sinais que podem indicar que o roteador foi comprometido. Entre eles, quedas constantes de desempenho da internet sem explicação plausível, aquecimento incomum do aparelho, luzes de atividade piscando intensamente mesmo quando ninguém está usando a rede e registros de acesso estranho no painel de administração. Embora esses sintomas não confirmem, por si só, a presença de malware, devem servir de alerta para uma checagem mais detalhada.
Empresas e profissionais de TI podem ir além das recomendações básicas e adotar controles adicionais. Segmentar a rede (separando, por exemplo, equipamentos de trabalho de dispositivos IoT), ativar logs detalhados no roteador, usar listas de bloqueio de IP e DNS e integrar o equipamento a uma solução de monitoramento centralizado são medidas que elevam a capacidade de detectar comportamentos anômalos. Em ambientes corporativos, também é aconselhável definir uma política formal de ciclo de vida para roteadores e firewalls, prevendo revisões periódicas, substituição de dispositivos obsoletos e testes de segurança regulares.
Outro aspecto pouco discutido é o impacto reputacional e legal do uso de roteadores comprometidos como proxies. Se o equipamento de um usuário ou de uma empresa for utilizado como ponto de origem aparente de um ataque, investigação inicial pode apontar esse IP como suspeito. Embora análises mais aprofundadas geralmente revelem o comprometimento, o processo pode envolver visitas de autoridades, bloqueio provisório de serviços ou até suspensão de contas por parte de provedores e plataformas digitais.
Do ponto de vista dos criminosos, serviços como o Doppelganger ampliam o alcance de diferentes tipos de fraude. Com IPs distribuídos globalmente, é possível burlar controles geográficos de bancos, serviços financeiros, lojas virtuais, plataformas de jogos e redes sociais. Ataques de força bruta, criação de contas falsas, envio de spam e testes de cartões de crédito roubados tornam-se mais difíceis de rastrear quando passam por camadas sucessivas de proxies comprometidos.
A tendência é que campanhas semelhantes ao KadNap se tornem mais frequentes, explorando não apenas roteadores de marcas específicas, mas também dispositivos de internet das coisas, câmeras IP, NAS domésticos e outros equipamentos conectados. Esses aparelhos, em geral, têm ciclos de atualização lentos e são administrados por usuários sem formação em segurança, o que abre espaço para o surgimento de novas botnets P2P resilientes.
Para mitigar riscos, especialistas recomendam que fabricantes simplifiquem ao máximo o processo de atualização automática de firmware, adotem configurações padrão mais seguras (como exigir a troca de senha no primeiro acesso) e desativem, por padrão, serviços remotos sensíveis. Já os provedores de internet podem atuar monitorando padrões de tráfego anômalos originados da rede de clientes, notificando usuários e, em casos extremos, impondo bloqueios temporários até que os equipamentos sejam devidamente limpos.
O caso KadNap reforça a necessidade de tratar o roteador como um ativo crítico de segurança e não apenas como um “modem de internet”. Manter o firmware atualizado, revisar periodicamente as configurações, usar senhas robustas, limitar o acesso remoto e monitorar o comportamento da rede são medidas que, combinadas, reduzem de forma significativa a probabilidade de que esses dispositivos sejam sequestrados e utilizados como parte de serviços clandestinos de proxy voltados ao crime digital.