Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware KadNap

Malware KadNap

Por Mezo em Malware
Traduzir Para:

Pesquisadores de cibersegurança identificaram uma nova variante de malware conhecida como KadNap, que tem como alvo principal roteadores Asus e os recruta para uma botnet projetada para interceptar tráfego malicioso da internet. Observado pela primeira vez em agosto de 2025, o malware já infectou mais de 14.000 dispositivos em todo o mundo. Análises indicam que mais de 60% dos sistemas comprometidos estão localizados nos Estados Unidos, enquanto pequenos grupos de infecções foram detectados em Taiwan, Hong Kong, Rússia, Reino Unido, Austrália, Brasil, França, Itália e Espanha.

Embora os roteadores Asus pareçam ser os principais alvos, as investigações mostram que os operadores por trás do KadNap expandiram seus esforços para incluir uma gama mais ampla de dispositivos de rede de borda. Essa expansão sugere uma tentativa deliberada de maximizar o tamanho e a resiliência da infraestrutura da botnet.

Ocultação ponto a ponto através da tecnologia Kademlia

Uma característica definidora da operação KadNap é sua dependência de uma implementação modificada do protocolo Kademlia Distributed Hash Table (DHT). Esse protocolo é integrado a uma arquitetura ponto a ponto que oculta a localização da infraestrutura da botnet, escondendo os sistemas de comando em nós distribuídos.

Dispositivos comprometidos comunicam-se através da rede DHT para descobrir e conectar-se a servidores de Comando e Controle (C2). Ao dispersar a comunicação por um ambiente descentralizado, o malware evita depender de um único ponto de infraestrutura, complicando significativamente os esforços tradicionais de detecção e remoção. Essa abordagem efetivamente mistura o tráfego malicioso à atividade legítima da rede ponto a ponto, tornando o monitoramento e a interrupção consideravelmente mais difíceis para os defensores.

Mecanismo de infecção e estratégia de persistência

A cadeia de infecção começa com um script shell chamado aic.sh, que é baixado de um servidor de comandos hospedado no endereço IP 212.104.141.140. Este script inicia o processo de integração do dispositivo comprometido ao ecossistema ponto a ponto da botnet.

O script garante a persistência criando uma tarefa agendada (cron job) que recupera o mesmo script aos 55 minutos de cada hora. A cada download, o script é renomeado para '.asusrouter' e executado. Uma vez assegurada a persistência, o script baixa um binário ELF malicioso, renomeia-o para kad e o executa, implantando efetivamente o malware KadNap. O malware foi projetado para operar em dispositivos com processadores ARM e MIPS, permitindo que ele comprometa uma ampla gama de arquiteturas de roteadores.

Descoberta de pares baseada em tempo e coordenação de rede

O KadNap incorpora um mecanismo para sincronizar a atividade em sua rede descentralizada. O malware se conecta a um servidor NTP (Network Time Protocol) para obter a hora atual do sistema e a combina com as informações de tempo de atividade do dispositivo infectado. Esses valores são usados para gerar um hash que ajuda o dispositivo infectado a localizar outros dispositivos na rede distribuída.

Esse processo permite que sistemas comprometidos descubram outros nós, obtenham instruções e baixem arquivos maliciosos adicionais sem depender de uma estrutura de comando centralizada. Scripts auxiliares, como fwr.sh e /tmp/.sose, também executam tarefas adicionais, incluindo a desativação da porta 22, a porta TCP padrão usada pelo Secure Shell (SSH), e a extração de listas de endereços e portas de servidores C2 usados para comunicação posterior.

Comercialização da botnet por meio de serviços de proxy

Uma vez comprometidos, os roteadores são integrados a uma rede proxy comercializada sob o nome Doppelgänger através do site doppelganger.shop. Pesquisadores de segurança avaliam esse serviço como uma versão renomeada do Faceless, uma plataforma proxy anteriormente associada ao malware TheMoon.

De acordo com o material promocional publicado pelo serviço, a rede oferece acesso proxy residencial em mais de 50 países e anuncia "100% de anonimato" para os usuários. Evidências sugerem que a plataforma foi lançada por volta de maio ou junho de 2025. A infraestrutura segmenta os dispositivos infectados por tipo e modelo, já que nem todos os dispositivos comprometidos se comunicam com todos os servidores de comando. Essa segmentação indica uma estratégia de gerenciamento de botnet estruturada e escalável.

Já foi observado que a rede proxy está sendo explorada por múltiplos agentes maliciosos. No entanto, a atribuição de responsabilidade permanece difícil, pois os roteadores envolvidos na rede às vezes são infectados simultaneamente por outras famílias de malware, o que dificulta identificar qual agente é responsável por atividades maliciosas específicas.

Medidas de segurança para proprietários de roteadores

O surgimento do KadNap destaca o risco crescente representado por dispositivos de borda mal protegidos, tanto em ambientes domésticos quanto em pequenos escritórios. Os responsáveis pela segurança da rede e os usuários individuais podem reduzir significativamente a exposição a vulnerabilidades adotando diversas práticas de segurança:

  • Mantenha os roteadores e dispositivos de rede atualizados com o firmware e as atualizações de segurança mais recentes.
  • Reinicie os dispositivos periodicamente para eliminar processos maliciosos temporários, quando aplicável.
  • Substitua as credenciais padrão por senhas fortes e exclusivas.
  • Restringir e proteger as interfaces de gerenciamento administrativo.
  • Desative e substitua os roteadores que chegaram ao fim de sua vida útil e não recebem mais atualizações de segurança do fornecedor.

Uma botnet descentralizada projetada para discrição.

O KadNap se diferencia de muitas botnets tradicionais que oferecem serviços de proxy anônimos por meio do uso de uma arquitetura ponto a ponto descentralizada. Ao utilizar o protocolo DHT Kademlia, a botnet distribui o controle entre dispositivos infectados, em vez de depender de servidores centralizados facilmente identificáveis.

Essa arquitetura fornece aos operadores canais de comunicação resilientes, significativamente mais difíceis de detectar, bloquear ou desmantelar. O objetivo estratégico é claro: manter a continuidade operacional, burlar o monitoramento de segurança e dificultar os esforços de resposta defensiva das equipes de cibersegurança.

Tendendo

Mais visto

Carregando...