Uma equipe de segurança da Black Lotus Labs, parte da Lumen Technologies, anunciou a desativação de mais de 550 servidores de comando e controle (C2) associados às botnets AISURU e Kimwolf desde outubro de 2025. Essas botnets, notórias por realizar ataques de negação de serviço distribuído (DDoS) e trafegar dados maliciosos, têm como alvo dispositivos Android, especialmente aqueles com o Android Debug Bridge (ADB) exposto.
O Kimwolf, em particular, infectou mais de 2 milhões de dispositivos Android, transformando-os em proxies residenciais. Essa operação é facilitada por um kit de desenvolvimento de software (SDK) chamado ByteConnect, que é instalado em dispositivos comprometidos, muitas vezes através de aplicativos suspeitos pré-instalados.
Em setembro de 2025, a Black Lotus Labs identificou conexões SSH residenciais originárias do Canadá, ligadas ao backend C2 do Aisuru. Em outubro, um aumento de 300% no número de novos bots foi observado, totalizando 800.000 bots em meados do mês. A maioria desses bots estava à venda em um serviço de proxy residencial.
Relatórios indicam que a botnet explorou falhas de segurança em serviços de proxy, permitindo a interação com dispositivos em redes internas. Além disso, uma rede de proxies sofisticada foi descoberta, envolvendo 832 roteadores KeeneticOS comprometidos na Rússia. Esses dispositivos, usados como nós de proxy residenciais, permitem atividades maliciosas disfarçadas de tráfego normal.
Fonte:https://thehackernews.com/2026/01/kimwolf-botnet-infected-over-2-million.html
