🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A equipe do Black Lotus Labs da Lumen Technologies disse que roteou nulo o tráfego para mais de 550 nós de comando e controle (C2) associados à botnet AISURU/Kimwolf desde o inÃcio de outubro de 2025.
AISURU e seu equivalente Android, Kimwolf, emergiram como alguns dos maiores botnets dos últimos tempos, capazes de direcionar dispositivos escravizados para participarem de ataques distribuÃdos de negação de serviço (DDoS) e retransmitir tráfego malicioso para serviços de proxy residenciais.
Detalhes sobre Kimwolf surgiram no mês passado, quando QiAnXin XLab publicou uma análise exaustiva do malware, que transforma dispositivos comprometidos – principalmente dispositivos de streaming de TV Android não autorizados – em um proxy residencial, entregando um kit de desenvolvimento de software (SDK) chamado ByteConnect diretamente ou por meio de aplicativos incompletos que vêm pré-instalados neles.
O resultado lÃquido é que a botnet se expandiu para infectar mais de 2 milhões de dispositivos Android com um serviço Android Debug Bridge (ADB) exposto, através de tunelamento através de redes proxy residenciais, permitindo assim que os agentes da ameaça comprometam uma ampla gama de caixas de TV.
Um relatório subsequente da Synthient revelou atores de Kimwolf tentando descarregar largura de banda proxy em troca de dinheiro adiantado.
Black Lotus Labs disse que identificou em setembro de 2025 um grupo de conexões SSH residenciais originadas de vários endereços IP canadenses com base em sua análise de backend C2 para Aisuru em 65.108.5[.]46, com os endereços IP usando SSH para acessar 194.46.59[.]169, que proxy-sdk.14emeliaterracewestroxburyma02132[.]su.
É importante notar que o domÃnio de segundo nÃvel ultrapassou o Google na lista dos 100 principais domÃnios da Cloudflare em novembro de 2025, o que levou a empresa de infraestrutura da web a retirá-lo da lista.
Então, no inÃcio de outubro de 2025, a empresa de segurança cibernética disse ter identificado outro domÃnio C2 – greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su – que resolveu para 104.171.170[.]21, um endereço IP pertencente ao provedor de hospedagem Resi Rack LLC, com sede em Utah. A empresa se anuncia como um “Provedor de hospedagem de servidor de jogos premium”.
Este link é crucial, já que um relatório recente do jornalista de segurança independente Brian Krebs revelou como as pessoas por trás de vários serviços de proxy baseados em botnets estavam vendendo seus warez em um servidor Discord chamado resi[.]to. Isso também inclui os cofundadores da Resi Rack, que estariam ativamente envolvidos na venda de serviços de proxy via Discord por quase dois anos.
O servidor, que já desapareceu, pertencia a alguém chamado “d” (considerado uma abreviação de “Dort”), sendo Snow considerado o botmaster.
“No inÃcio de outubro, observamos um aumento de 300% no número de novos bots adicionados ao Kimwolf durante um perÃodo de 7 dias, que foi o inÃcio de um aumento que atingiu 800.000 bots no total em meados do mês”, disse Black Lotus Labs. “Quase todos os bots neste aumento foram encontrados listados para venda em um único serviço de proxy residencial.”
Posteriormente, descobriu-se que a arquitetura Kimwolf C2 escaneia PYPROXY e outros serviços em busca de dispositivos vulneráveis entre 20 de outubro de 2025 e 6 de novembro de 2025 – um comportamento explicado pela exploração do botnet de uma falha de segurança em muitos serviços de proxy que tornou possÃvel interagir com dispositivos nas redes internas de endpoints de proxy residenciais e descartar o malware.
Isso, por sua vez, transforma o dispositivo em um nó proxy residencial, fazendo com que seu endereço IP público (atribuÃdo pelo provedor de serviços de Internet) seja listado para aluguel em um site de provedor de proxy residencial. Os atores da ameaça, como os que estão por trás dessas botnets, alugam o acesso ao nó infectado e o transformam em uma arma para verificar a rede local em busca de dispositivos com o modo ADB habilitado para propagação adicional.
“Depois de uma rota nula bem-sucedida [em outubro de 2025], observamos a mudança do domÃnio greatfirewallisacensorshiptool para 104.171.170[.]201, outro IP Resi Rack LLC”, observou Black Lotus Labs. "À medida que este servidor se levantava, vimos um grande aumento de tráfego com 176.65.149[.]19:25565, um servidor usado para hospedar seu malware. Isso ocorreu em um ASN comum que foi usado pela botnet Aisuru ao mesmo tempo."
A divulgação tem como pano de fundo um relatório da Chawkr que detalhou uma sofisticada rede proxy contendo 832 roteadores KeeneticOS comprometidos operando em ISPs russos, como Net By Net Holding LLC, VladLink e GorodSamara.
“As impressões digitais SSH consistentes e as configurações idênticas em todos os 832 dispositivos apontam para a exploração automatizada em massa, seja aproveitando credenciais roubadas, backdoors incorporados ou falhas de segurança conhecidas no firmware do roteador”, afirmou. "Cada roteador comprometido mantém acesso HTTP (porta 80) e SSH (porta 22)."
Dado que esses roteadores SOHO comprometidos funcionam como nós proxy residenciais, eles fornecem aos agentes de ameaças a capacidade de realizar atividades maliciosas.
AISURU e seu equivalente Android, Kimwolf, emergiram como alguns dos maiores botnets dos últimos tempos, capazes de direcionar dispositivos escravizados para participarem de ataques distribuÃdos de negação de serviço (DDoS) e retransmitir tráfego malicioso para serviços de proxy residenciais.
Detalhes sobre Kimwolf surgiram no mês passado, quando QiAnXin XLab publicou uma análise exaustiva do malware, que transforma dispositivos comprometidos – principalmente dispositivos de streaming de TV Android não autorizados – em um proxy residencial, entregando um kit de desenvolvimento de software (SDK) chamado ByteConnect diretamente ou por meio de aplicativos incompletos que vêm pré-instalados neles.
O resultado lÃquido é que a botnet se expandiu para infectar mais de 2 milhões de dispositivos Android com um serviço Android Debug Bridge (ADB) exposto, através de tunelamento através de redes proxy residenciais, permitindo assim que os agentes da ameaça comprometam uma ampla gama de caixas de TV.
Um relatório subsequente da Synthient revelou atores de Kimwolf tentando descarregar largura de banda proxy em troca de dinheiro adiantado.
Black Lotus Labs disse que identificou em setembro de 2025 um grupo de conexões SSH residenciais originadas de vários endereços IP canadenses com base em sua análise de backend C2 para Aisuru em 65.108.5[.]46, com os endereços IP usando SSH para acessar 194.46.59[.]169, que proxy-sdk.14emeliaterracewestroxburyma02132[.]su.
É importante notar que o domÃnio de segundo nÃvel ultrapassou o Google na lista dos 100 principais domÃnios da Cloudflare em novembro de 2025, o que levou a empresa de infraestrutura da web a retirá-lo da lista.
Então, no inÃcio de outubro de 2025, a empresa de segurança cibernética disse ter identificado outro domÃnio C2 – greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su – que resolveu para 104.171.170[.]21, um endereço IP pertencente ao provedor de hospedagem Resi Rack LLC, com sede em Utah. A empresa se anuncia como um “Provedor de hospedagem de servidor de jogos premium”.
Este link é crucial, já que um relatório recente do jornalista de segurança independente Brian Krebs revelou como as pessoas por trás de vários serviços de proxy baseados em botnets estavam vendendo seus warez em um servidor Discord chamado resi[.]to. Isso também inclui os cofundadores da Resi Rack, que estariam ativamente envolvidos na venda de serviços de proxy via Discord por quase dois anos.
O servidor, que já desapareceu, pertencia a alguém chamado “d” (considerado uma abreviação de “Dort”), sendo Snow considerado o botmaster.
“No inÃcio de outubro, observamos um aumento de 300% no número de novos bots adicionados ao Kimwolf durante um perÃodo de 7 dias, que foi o inÃcio de um aumento que atingiu 800.000 bots no total em meados do mês”, disse Black Lotus Labs. “Quase todos os bots neste aumento foram encontrados listados para venda em um único serviço de proxy residencial.”
Posteriormente, descobriu-se que a arquitetura Kimwolf C2 escaneia PYPROXY e outros serviços em busca de dispositivos vulneráveis entre 20 de outubro de 2025 e 6 de novembro de 2025 – um comportamento explicado pela exploração do botnet de uma falha de segurança em muitos serviços de proxy que tornou possÃvel interagir com dispositivos nas redes internas de endpoints de proxy residenciais e descartar o malware.
Isso, por sua vez, transforma o dispositivo em um nó proxy residencial, fazendo com que seu endereço IP público (atribuÃdo pelo provedor de serviços de Internet) seja listado para aluguel em um site de provedor de proxy residencial. Os atores da ameaça, como os que estão por trás dessas botnets, alugam o acesso ao nó infectado e o transformam em uma arma para verificar a rede local em busca de dispositivos com o modo ADB habilitado para propagação adicional.
“Depois de uma rota nula bem-sucedida [em outubro de 2025], observamos a mudança do domÃnio greatfirewallisacensorshiptool para 104.171.170[.]201, outro IP Resi Rack LLC”, observou Black Lotus Labs. "À medida que este servidor se levantava, vimos um grande aumento de tráfego com 176.65.149[.]19:25565, um servidor usado para hospedar seu malware. Isso ocorreu em um ASN comum que foi usado pela botnet Aisuru ao mesmo tempo."
A divulgação tem como pano de fundo um relatório da Chawkr que detalhou uma sofisticada rede proxy contendo 832 roteadores KeeneticOS comprometidos operando em ISPs russos, como Net By Net Holding LLC, VladLink e GorodSamara.
“As impressões digitais SSH consistentes e as configurações idênticas em todos os 832 dispositivos apontam para a exploração automatizada em massa, seja aproveitando credenciais roubadas, backdoors incorporados ou falhas de segurança conhecidas no firmware do roteador”, afirmou. "Cada roteador comprometido mantém acesso HTTP (porta 80) e SSH (porta 22)."
Dado que esses roteadores SOHO comprometidos funcionam como nós proxy residenciais, eles fornecem aos agentes de ameaças a capacidade de realizar atividades maliciosas.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #fazem #rota #nula #em #mais #de #550 #servidores #de #comando #kimwolf #e #aisuru #botnet
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário