Pesquisadores da Black Lotus Labs identificaram uma botnet que infecta cerca de 14 mil roteadores diariamente, na maioria modelos Asus nos EUA, usando tecnologia peer-to-peer avançada para evadir a detecção. O malware, conhecido como KadNap, transforma esses dispositivos em proxies para atividades de cibercrime. Usuários infectados são aconselhados a fazer reset de fábrica nos roteadores e aplicar atualizações de firmware para remover a ameaça.
A botnet KadNap, descoberta pela Black Lotus Labs em agosto, cresceu para infectar em média 14 mil roteadores e dispositivos de rede por dia até março de 2026, um aumento em relação às 10 mil infecções no momento da detecção inicial. A maioria dos dispositivos comprometidos são roteadores Asus, principalmente localizados nos EUA, com clusters menores em Taiwan, Hong Kong e Rússia. De acordo com Chris Formosa, pesquisador da Black Lotus Labs da Lumen, o malware explora vulnerabilidades não corrigidas nesses dispositivos, sem depender de exploits zero-day. O que diferencia o KadNap é o uso de uma estrutura de rede peer-to-peer baseada em Kademlia, um sistema de tabela de hash distribuída (DHT) originalmente popularizado em tecnologias como BitTorrent. Este design descentraliza o controle, ocultando os endereços IP dos servidores de comando e controle e tornando a botnet altamente resistente a métodos tradicionais de derrubada. “A botnet KadNap destaca-se entre outras que suportam proxies anônimos pelo uso de uma rede peer-to-peer para controle descentralizado”, escreveram Formosa e o colega pesquisador Steve Rudd. “A intenção deles é clara: evitar detecção e dificultar a proteção para os defensores.” Em operação, o KadNap funciona fazendo com que os nós consultem outros usando uma frase de acesso para localizar a infraestrutura de controle, recebendo eventualmente arquivos com endereços de comando e controle. Os dispositivos infectados servem como proxies para o Doppelganger, um serviço pago que roteia o tráfego dos clientes por conexões de internet residenciais para permitir acesso anônimo a sites restritos. A Black Lotus Labs desenvolveu métodos para bloquear o tráfego para a infraestrutura de controle da botnet e está compartilhando indicadores de comprometimento, como endereços IP específicos e hashes de arquivos, por meio de feeds públicos. Usuários que suspeitam de infecção podem verificar os logs do dispositivo contra esses indicadores. Para desinfetar, os proprietários devem realizar um reset de fábrica — reiniciar sozinho é insuficiente, pois o malware persiste por meio de um script de shell — e garantir que o firmware esteja atualizado, que as senhas sejam fortes e que o acesso remoto seja desativado quando não necessário.