O National Cyber Security Centre do Reino Unido (NCSC-UK) e parceiros internacionais alertaram que hackers ligados à China estão usando cada vez mais grandes redes de proxy formadas por dispositivos de consumidores comprometidos para evitar a detecção e ocultar atividades maliciosas.
O comunicado conjunto, assinado por órgãos dos Estados Unidos, Austrália, Canadá, Alemanha, Japão, Holanda, Nova Zelândia, Espanha e Suécia, afirma que a maioria dos grupos de hackers chineses deixou de depender de infraestrutura adquirida individualmente e passou a operar enormes botnets de dispositivos comprometidos.
Entre os alvos mais comuns estão roteadores de pequeno e home office (SOHO), além de câmeras conectadas à internet, gravadores de vídeo e equipamentos de armazenamento em rede (NAS).
Essas botnets em larga escala permitem que o tráfego seja roteado por uma cadeia de dispositivos comprometidos, com entrada em um ponto, passagem por vários nós intermediários e saída próxima ao alvo pretendido, o que dificulta a identificação geográfica da origem da ameaça.
“O NCSC acredita que a maioria dos atores de ameaça ligados à China está usando essas redes, que múltiplas redes ocultas foram criadas e estão sendo constantemente atualizadas, e que uma única rede pode estar sendo utilizada por vários grupos”, diz o comunicado.
“Essas redes são compostas principalmente por roteadores SOHO, além de dispositivos de Internet das Coisas (IoT) e outros dispositivos inteligentes.”
Uma dessas botnets chinesas, conhecida como Raptor Train, infectou mais de 260.000 dispositivos em todo o mundo em 2024.
O FBI a vinculou a atividades maliciosas atribuídas ao grupo Flax Typhoon, apoiado pelo Estado chinês, e à empresa Integrity Technology Group, sancionada em janeiro de 2025.
O FBI desarticulou a Raptor Train em setembro de 2024, com apoio de pesquisadores da Black Lotus Labs, após associá-la a campanhas contra setores militar, governamental, ensino superior, telecomunicações, base industrial de defesa e tecnologia da informação, principalmente nos Estados Unidos e em Taiwan.
Outra rede, a KV-Botnet, foi usada pelo grupo Volt Typhoon, também apoiado pelo Estado chinês, e era composta principalmente por roteadores Cisco e Netgear vulneráveis, desatualizados e sem correções de segurança.
O FBI também desmantelou a KV-Botnet ao remover o malware dos roteadores infectados em janeiro de 2024, mas o Volt Typhoon começou a reativá-la lentamente em novembro de 2024, após uma tentativa inicial frustrada em fevereiro.
“As operações de botnet representam uma ameaça significativa ao Reino Unido ao explorar vulnerabilidades em dispositivos comuns conectados à internet, com potencial para realizar ataques cibernéticos em larga escala”, afirmou Paul Chichester, diretor de operações do NCSC-UK.
As agências de inteligência ocidentais que assinam o alerta afirmam que as defesas tradicionais, baseadas no bloqueio de listas estáticas de endereços IP maliciosos, estão se tornando menos eficazes, já que essas botnets adicionam continuamente novos dispositivos comprometidos.
Como resposta, responsáveis por redes em organizações de pequeno, médio e grande porte devem adotar autenticação multifator, mapear dispositivos de borda, usar fontes dinâmicas de inteligência de ameaças com indicadores conhecidos de redes maliciosas e, sempre que possível, aplicar listas de permissão de IP, controles de confiança zero (zero trust) e verificação de certificados de máquina.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...