Barracuda full logo

Resumo de Malware: Nova vaga de botnets a causar caos DDoS

Tópicos:
29 jan. 2026
|
Tony Burgess

Como as botnets estão a alimentar uma nova era de ataques DDoS implacáveis

Principais conclusões

  • Três grandes botnets — Kimwolf, Aisuru e Mirai (e as suas variantes) — estão a impulsionar um aumento nos ataques DDoS altamente automatizados.
  • Os atacantes exploram cada vez mais dispositivos IoT e domésticos inseguros, incluindo boxes de streaming não autorizadas de Android TV em campanhas Kimwolf.
  • Os botnets usam padrões de ataque adaptativos, pipelines de exploração em massa e mecanismos de comunicação furtivos.
  • A questão central: uma cadeia de abastecimento global de dispositivos com definições fracas, firmware desatualizado e práticas de segurança inconsistentes.

O ecossistema de botnet continua a evoluir rapidamente, alimentado por uma inundação de hardware de consumo e de pequenos escritórios mal protegidos. Tudo, desde routers e webcams a dispositivos de streaming Android TV não autorizados — frequentemente enviados com aplicações não verificadas ou funcionalidades de acesso remoto ocultas — tornou-se parte de um substrato global que alimenta operações persistentes de DDoS.

Aqui estão três das ameaças mais dominantes no ambiente atual.

Kimwolf: Um botnet furtivo que infiltra redes corporativas e governamentais

Tipo: Botnet, DDoS

Malware: Kimwolf

Propagação: Dispositivos IoT comprometidos, equipamentos domésticos, boxes de streaming Android não autorizadas

Vetor: fraquezas na cadeia de abastecimento em tecnologia de consumo e de pequenos escritórios

Alvo: Redes corporativas, governamentais e municipais

Ativo desde: 2025

O botnet Kimwolf infiltrou-se silenciosamente em ambientes corporativos, governamentais e municipais. Como Krebs on Security relatou, “Kimwolf espreita dentro do equipamento de escritório do dia-a-dia e dos routers domésticos que nunca foram reforçados para exposição ao nível empresarial.”

Relatórios adicionais mostram que Kimwolf utiliza canais de comunicação furtivos que mudam dinamicamente para evitar a deteção.

Um vetor notável na propagação do Kimwolf envolve dispositivos Android TV não autorizados ou clonados, que por vezes são enviados com malware pré-instalado ou componentes de acesso remoto inseguros. Uma vez conectados a uma rede doméstica ou de pequeno escritório, expõem shells remotos ou interfaces de gestão que os atacantes podem facilmente utilizar de forma maliciosa.

Nas redes empresariais, os dispositivos comprometidos atuam como pontos de apoio duradouros, permitindo movimentos laterais e convertendo a infraestrutura interna em participantes involuntários em campanhas de DDoS em larga escala.

Aisuru: O predecessor que estabeleceu recordes globais de DDoS

Tipo: Botnet, DDoS

Malware: Aisuru

Propagação: Varredura automatizada e exploração de dispositivos IoT vulneráveis

Vector: Autenticação fraca, firmware desatualizado e predefinições inseguras da cadeia de abastecimento

Alvo: Redes de consumidores e empresariais globalmente

Ativo desde: 2024

Antes da Kimwolf, a Aisuru mostrou o quão destrutiva pode ser a exploração automatizada de IoT. De acordo com Cybersecurity Dive, a Aisuru conduziu múltiplos ataques DDoS recordistas, incluindo uma campanha onde “os volumes de tráfego excederam os picos globais anteriores por uma margem significativa.”

Aisuru compromete rapidamente modelos de dispositivos previsíveis — muitas vezes hardware IoT de baixo custo com firmware desatualizado — infetando milhares de dispositivos em poucas horas. Estes nós comprometidos geram inundações volumétricas massivas, rodam vetores de ataque dinamicamente e sobrecarregam sistemas de mitigação globais.

Uma característica marcante da campanha Aisuru visou vários provedores de serviços ao mesmo tempo, mudando a carga em tempo real enquanto os defensores tentavam a mitigação. A análise de ameaças do Q325 da Cloudflare explora esta escalada mais ampla na escala e sofisticação dos ataques DDoS.

Mirai e a nova geração de variantes de botnets IoT

Tipo: Botnet, DDoS

Malware: Mirai e variantes modernas (por exemplo, remanescentes de Satori, Mozi, Katana)

Propagação: Exploração automatizada de dispositivos IoT inseguros

Vector: Credenciais padrão, firmware não corrigido, serviços expostos (Telnet/SSH/HTTP APIs)

Alvo: ISPs, fornecedores de hospedagem, plataformas de jogos, redes empresariais de edge

Ativo desde: 2016 (com variantes principais ativas até 2025)

Quase uma década após a sua estreia, Mirai continua a ser uma das famílias de botnets mais persistentes e amplamente adaptadas na internet. A sua resistência é impulsionada pelo fornecimento maciço e sempre renovado de dispositivos IoT inseguros — routers, DVRs, câmaras inteligentes e appliances de baixo custo enviados com firmware desatualizado e credenciais facilmente adivinháveis.

As variantes modernas do Mirai expandiram-se muito além do botnet original de código aberto. Estirpes como Katana, Satori e outros forks emergentes agora incluem:

  • Grandes bibliotecas de exploits que visam dezenas de vulnerabilidades de IoT de uma só vez
  • Motores de propagação mais rápidos capazes de comprometer milhares de dispositivos por hora
  • Técnicas evasivas de comando e controlo, incluindo domain-fluxing e canais de comando encriptados
  • Módulos de autoatualização, permitindo que os atacantes enviem rapidamente novos exploits à medida que surgem.

Os investigadores observam que muitos dispositivos infectados com Mirai sofrem de ciclos de vida de firmware negligenciados, o que significa que raramente recebem patches — resultando num conjunto de nós vulneráveis de longa duração que alimentam uma atividade DDoS sustentada.

Considerações finais

O crescimento de botnets como Kimwolf, Aisuru e Mirai destaca uma verdade crítica: a cadeia de abastecimento global de dispositivos domésticos e IoT é agora um campo de batalha central para operações de DDoS.

Os atacantes beneficiam de um fornecimento interminável de hardware inseguro.

  • Dispositivos IoT baratos com configurações previsíveis
  • Equipamento doméstico com interfaces de gestão expostas
  • Dispositivos que raramente recebem atualizações de firmware
  • Ecossistemas de fornecedores com predefinições fracas e testes inconsistentes

Para os defensores, o mandato é claro: tratar cada dispositivo ligado à rede, por mais pequeno, barato ou "de consumo" que seja, como um potencial ponto de apoio para operadores de botnet.

Explore as capacidades de proteção DDoS do BarracudaONE
Tony Burgess

Tony Burgess é um veterano de vinte anos na indústria de segurança de TI e é o Senior Copywriter de Conteúdo e Marketing ao Cliente da Barracuda. Nesta função, ele pesquisa temas técnicos complexos e traduz as descobertas em prosa clara, útil e legível para humanos.

Pode conectar-se com o Tony no LinkedIn aqui.

Artigos Relacionados:
Breve Resumo de Malware: Quando a cadeia de abastecimento se torna a superfície de ataque
Breve Resumo de Malware: Quando a cadeia de abastecimento se torna a superfície de ataque
 Um aumento nos ataques de hacktivistas coloca todas as aplicações web em risco, alerta o NCSC do Reino Unido.
Um aumento nos ataques de hacktivistas coloca todas as aplicações web em risco, alerta o NCSC do Reino Unido.
Resumo de Malware: Android na mira — FvncBot, SeedSnatcher, ClayRat
Resumo de Malware: Android na mira — FvncBot, SeedSnatcher, ClayRat
 Resumo de Malware: XWorm, TrickMo e Remcos
Resumo de Malware: XWorm, TrickMo e Remcos
Pesquisar o blogue

O Relatório de Invasão de Segurança de E-mail de 2025

Principais conclusões sobre a experiência e o impacto das violações de segurança de e-mail em organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Relatório de Insights do Cliente MSP 2025

Uma visão global sobre o que as organizações precisam e desejam dos seus provedores de serviços geridos de cibersegurança

Obtenha o relatório

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.