Um novo malware de botnet, chamado KadNap, está atacando roteadores ASUS e outros dispositivos de borda para transformá-los em proxies utilizados em tráfego malicioso.
Desde agosto de 2025, o KadNap já infectou cerca de 14 mil dispositivos, formando uma rede peer-to-peer que se conecta à infraestrutura de comando e controle (C2) por meio de uma versão personalizada do protocolo Kademlia Distributed Hash Table (DHT).
Essa arquitetura descentralizada dificulta a identificação e neutralização dos servidores C2, pois cada nó gerencia apenas uma parte dos dados totais, o que torna mais complexa a localização da infraestrutura maliciosa.
Pesquisadores do Black Lotus Labs, braço de pesquisa e operações de ameaças da Lumen Technologies, apontam que quase metade dos dispositivos infectados pelo KadNap está conectada a servidores C2 dedicados exclusivamente a bots baseados em roteadores ASUS.
O restante da rede se comunica com dois servidores de controle distintos.
A maioria dos dispositivos comprometidos está nos Estados Unidos, que representa 60% do total, seguida por Taiwan, Hong Kong e Rússia, com percentuais relevantes.
A infecção começa com o download de um script malicioso (aic.sh) a partir do IP 212.104.141[.]140.
Esse script cria persistência ao agendar uma tarefa cron que é executada a cada 55 minutos.
O payload principal é um binário ELF chamado kad, responsável por instalar o cliente KadNap.
Ao ser ativado, o malware obtém o endereço IP externo da máquina infectada e consulta vários servidores de Network Time Protocol (NTP) para coletar o horário atual e o tempo de atividade do sistema.
Para evitar detecções e resistir a tentativas de derrube, o KadNap utiliza uma versão modificada do protocolo Kademlia DHT, que permite localizar os nós da botnet e a infraestrutura C2 de forma distribuída.
Segundo os pesquisadores, "o KadNap emprega uma versão customizada do protocolo Kademlia Distributed Hash Table (DHT) para ocultar o endereço IP de sua infraestrutura dentro de um sistema peer-to-peer, dificultando o monitoramento tradicional da rede."
Eles também destacam que, apesar da descentralização, a implementação do KadNap mantém uma conexão consistente com dois nós específicos antes de alcançar os servidores C2.
Isso reduz o anonimato esperado do protocolo e facilita a identificação da infraestrutura de controle.
Além disso, o Black Lotus Labs indicou que o botnet KadNap está associado ao serviço de proxy Doppelganger, que provavelmente é um rebranding do Faceless, antigo serviço vinculado ao malware TheMoon — também focado em roteadores ASUS.
O Doppelganger comercializa acesso a dispositivos infectados como proxies residenciais, usados para desviar tráfego malicioso, criar camadas de pseudonimização e evitar listas de bloqueio.
Esses serviços suportam ataques como DDoS distribuídos, credential stuffing e brute force, que convergem para vítimas do KadNap.
Em resposta, a Lumen Technologies adotou medidas proativas contra o KadNap.
A empresa afirmou que, até a publicação desta reportagem, bloqueou todo o tráfego de rede de entrada e saída relacionado à infraestrutura de controle.
Essa ação, no entanto, ocorreu apenas na rede da Lumen.
Para ampliar a mitigação, a empresa planeja divulgar uma lista de indicadores de comprometimento, auxiliando outras organizações a combaterem o botnet de forma mais eficaz.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...