O Departamento de Justiça dos Estados Unidos (DoJ) anunciou, na quinta-feira, a desarticulação da infraestrutura de comando e controle (C2) utilizada por diversos botnets de Internet das Coisas (IoT), entre eles AISURU, Kimwolf, JackSkid e Mossad, em uma operação autorizada pela Justiça.
A ação contou também com a participação das autoridades do Canadá e da Alemanha, que miraram os operadores desses botnets.
Para fortalecer a investigação, colaboraram várias empresas do setor privado, como Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B e QiAnXin XLab.
Segundo o DoJ, os quatro botnets lançaram ataques distribuídos de negação de serviço (DDoS) contra vítimas em todo o mundo.
Alguns desses ataques chegaram a impressionantes 30 terabits por segundo (Tbps), configurando recordes históricos.
Em relatório divulgado em maio, a Cloudflare associou o AISURU/Kimwolf a um ataque massivo de 31,4 Tbps ocorrido em novembro de 2025, que durou apenas 35 segundos.
No final do ano passado, esse botnet também foi responsável por ataques DDoS hiper-volumétricos, com média de 3 bilhões de pacotes por segundo (Bpps), 4 Tbps e 54 milhões de requisições por segundo (Mrps).
O jornalista independente Brian Krebs identificou o suposto administrador do Kimwolf como Jacob Butler, 23 anos, morador de Ottawa, Canadá.
Butler negou usar a identidade “Dort” desde 2021 e afirmou que alguém estaria se passando por ele após invadir sua conta antiga.
Ele também revelou que prefere ficar em casa ajudando a mãe, devido a dificuldades relacionadas ao autismo e às interações sociais.
Outro suspeito principal é um adolescente de 15 anos residente na Alemanha, sem prisões anunciadas até o momento.
O botnet recrutou mais de 2 milhões de dispositivos Android, em sua maioria smart TVs genéricas comprometidas.
Ao todo, os quatro botnets infectaram pelo menos 3 milhões de aparelhos globalmente, incluindo gravadores digitais, webcams e roteadores Wi-Fi, com centenas de milhares concentrados nos Estados Unidos.
O DoJ explica que os botnets Kimwolf e JackSkid focaram em dispositivos tradicionalmente isolados por firewalls, que foram escravizados para operar em conjunto.
O acesso a esses dispositivos infectados era vendido a outros criminosos em um modelo de “cybercrime as a service” (cibercrime como serviço).
Esses aparelhos eram então usados para lançar ataques DDoS contra diversos alvos ao redor do mundo.
Documentos judiciais apontam que as variantes do botnet Mirai emitiram centenas de milhares de comandos de ataque:
- AISURU: mais de 200 mil comandos
- Kimwolf: mais de 25 mil comandos
- JackSkid: mais de 90 mil comandos
- Mossad: mais de 1 mil comandos
Tom Scholl, vice-presidente e engenheiro distinto da AWS, destacou que o Kimwolf representou uma mudança fundamental na operação e escalabilidade dos botnets.
Em vez de escanear a internet aberta atrás de dispositivos vulneráveis, ele explorava um vetor inovador: redes proxy residenciais.
Ao se infiltrar em redes domésticas por meio de dispositivos comprometidos — como set-top boxes e outros dispositivos IoT — o botnet conseguia acesso a redes locais protegidas por roteadores domésticos, normalmente imunes a ameaças externas.
Em comunicado, a Lumen Black Lotus Labs informou ter neutralizado cerca de mil servidores C2 usados pelo AISURU e Kimwolf.
A empresa de segurança revelou que o JackSkid teve uma média superior a 150 mil vítimas diárias nas duas primeiras semanas de março de 2026, chegando a 250 mil em 8 de março.
O Mossad manteve média diária acima de 100 mil vítimas no mesmo período.
Ryan English, pesquisador de segurança da Lumen Black Lotus Labs, explicou que o problema está na grande quantidade de dispositivos vulneráveis disponíveis.
Ele afirmou que “primeiro, o Kimwolf demonstrou ser incrivelmente resiliente; segundo, diversos novos botnets passaram a imitar sua técnica para crescerem rapidamente”.
A Akamai ressaltou que os botnets hiper-volumétricos geraram ataques maiores que 30 Tbps, 14 bilhões de pacotes por segundo e 300 milhões de requisições por segundo.
Os cibercriminosos usaram essas redes para lançar centenas de milhares de ataques, exigindo, em alguns casos, pagamentos de extorsão das vítimas.
Segundo a empresa, esses ataques podem paralisar infraestruturas essenciais da internet, causar degradação significativa dos serviços prestados por provedores de internet (ISPs) e sobrecarregar serviços de mitigação na nuvem.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...