Botnet Kimwolf: 550 servidores de comando derrubados
Botnet Kimwolf teve mais de 550 servidores de comando-e-controle (C2) neutralizados pela Black Lotus Labs da Lumen Technologies desde o início de outubro de 2025, em uma das maiores ações recentes contra redes zumbis capazes de lançar ataques DDoS e vender largura de banda via proxies residenciais.
Operação de bloqueio massivo
A divisão de inteligência da Lumen detectou em setembro de 2025 conexões SSH vindas de múltiplos endereços canadenses que apontavam para o backend da Aisuru, o braço para PC da Kimwolf, no IP 65.108.5[.]46. A investigação levou ao desligamento de dois domínios C2 — proxy-sdk.14emeliaterracewestroxburyma02132[.]su e greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su — hospedados na Resi Rack LLC, empresa que se apresenta como provedora “premium” de servidores de jogos.
Segundo a reportagem do The Hacker News, o domínio chegou a ultrapassar o Google no ranking de 100 domínios mais acessados da Cloudflare em novembro de 2025, evidenciando o volume de tráfego envolvido. Após o primeiro null-route, os operadores migraram o C2 para outro IP da mesma hospedagem, mas a equipe de segurança voltou a bloquear o endereço.
Propagação via TV Box e redes de proxy
Detalhes sobre o malware vieram à tona em dezembro de 2025, quando o QiAnXin XLab analisou como a Kimwolf transforma TV Boxes Android — muitas vezes já vendidas com apps suspeitos — em proxies residenciais instalando o SDK ByteConnect. O resultado: mais de 2 milhões de dispositivos com Android Debug Bridge (ADB) exposto foram cooptados pela rede.
Entre 20 de outubro e 6 de novembro de 2025, a infraestrutura da Kimwolf vasculhou serviços como PYPROXY em busca de brechas que permitissem infiltrar-se em redes internas dos proxies residenciais e, assim, infectar ainda mais aparelhos. Essa estratégia gerou um aumento de 300 % no número de bots em uma única semana e alcançou 800 mil novos nós até a metade do mês.
Imagem: Internet
Efeito camaleão nos provedores residenciais
A vantagem dos invasores é que IPs domésticos não aparecem em listas de reputação maliciosa, permitindo que tráfego nocivo se disfarce de atividade comum. Relatório da Chawkr mostrou 832 roteadores KeeneticOS russos explorados com a mesma lógica: manter portas HTTP (80) e SSH (22) abertas para funcionar como nós de proxy e dificultar a detecção.
Com a derrubada dos 550 C2, a Black Lotus Labs enfraquece a infraestrutura de comando da botnet Kimwolf, mas a escala da infecção exige vigilância contínua de fabricantes, provedores e usuários. Para entender como proteger seu equipamento e otimizar seu setup contra ameaças semelhantes, confira mais conteúdos em nossa página inicial.
Crédito da imagem: The Hacker News Fonte: The Hacker News
