{"id":646045,"date":"2026-05-08T12:00:00","date_gmt":"2026-05-08T15:00:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/08\/botnet-sequestra-dispositivos-domesticos-para-comercializar-ataques-ddos\/"},"modified":"2026-05-08T12:00:00","modified_gmt":"2026-05-08T15:00:00","slug":"botnet-sequestra-dispositivos-domesticos-para-comercializar-ataques-ddos","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/08\/botnet-sequestra-dispositivos-domesticos-para-comercializar-ataques-ddos\/","title":{"rendered":"Botnet sequestra dispositivos dom\u00e9sticos para comercializar ataques DDoS"},"content":{"rendered":"<p>O grupo de pesquisa Hunt.io identificou, no in\u00edcio de abril de 2026, um botnet denominado xlabs_v1 que sequestra dispositivos IoT conectados \u00e0 internet para realizar ataques DDoS. A opera\u00e7\u00e3o funciona como servi\u00e7o pago, com foco em derrubar servidores de jogos, incluindo Minecraft, a partir de infraestrutura de hospedagem conhecida como bulletproof na Holanda.<\/p>\n<p>O PLC de comando fica em um bloco de rede na Holanda, e o servi\u00e7o \u00e9 operado por um indiv\u00edduo identificado como Tadashi. A descoberta ocorreu ap\u00f3s um servidor mal configurado expor o toolkit completo, permitindo aos pesquisadores acompanhar a opera\u00e7\u00e3o em tempo real.<\/p>\n<p>O que aconteceu<\/p>\n<p>Um servidor com o IP 176.65.139.44 ficou aberto na porta 80, servindo um diret\u00f3rio sem autentica\u00e7\u00e3o. Em vez de uma p\u00e1gina de login, havia arquivos do bot para download, incluindo o bin\u00e1rio principal, scripts de infec\u00e7\u00e3o e credenciais de proxy. Dois arquivos foram automaticamente marcados como maliciosos pela ferramenta de an\u00e1lise.<\/p>\n<p>Como funciona o ataque<\/p>\n<p>O vetor de infec\u00e7\u00e3o \u00e9 o ADB, exposto pela porta TCP 5555. Dispositivos com ADB ativo em produ\u00e7\u00e3o, como Android TV boxes, decodificadores e roteadores, tornam-se alvos potenciais. Mais de 4 milh\u00f5es de hosts com ADB aberto foram registrados nos \u00faltimos seis meses.<\/p>\n<p>Como o bot opera<\/p>\n<p>Ap\u00f3s a infec\u00e7\u00e3o, xlabs_v1 se esconde como o processo \/bin\/bash e inicia, em seguida, 8.192 conex\u00f5es simult\u00e2neas para medir a velocidade de upload do dispositivo. Com essa m\u00e9trica, o operador define o pre\u00e7o por banda do ataque.<\/p>\n<p>Quantos e quais ataques<\/p>\n<p>O arsenal soma 21 variantes de flood, usando TCP, UDP e raw. Entre eles est\u00e3o m\u00e9todos para jogos, como flood via protocolo RakNet utilizado por Minecraft, e pacotes UDP que imitam tr\u00e1fego de OpenVPN para dificultar a detec\u00e7\u00e3o.<\/p>\n<p>Infraestrutura e comando<\/p>\n<p>A infraestrutura est\u00e1 concentrada em quatro IPs dentro do bloco \/24 da Offshore LC, na Holanda, sob o ASN AS214472. O painel de comando usa o dom\u00ednio xlabslover.lol, com DNS por OpenNIC para maior resili\u00eancia. Em caso de falha de conex\u00e3o, o bot abre a porta 26721 como fallback.<\/p>\n<p>Quem est\u00e1 envolvido<\/p>\n<p>O operador usa o handle Tadashi, criptografado nos builds com ChaCha20. A chave fraca reutilizada facilitou a recupera\u00e7\u00e3o de strings, permitindo compreender a identidade do operador e a tabela de strings do malware. Testemunhos tamb\u00e9m indicam uma disputa interna com um fork rival.<\/p>\n<p>Por que importa<\/p>\n<p>A avalia\u00e7\u00e3o dos pesquisadores aponta n\u00edvel intermedi\u00e1rio de sofistica\u00e7\u00e3o, superior a varia\u00e7\u00f5es simples de Mirai. O uso de criptografia, m\u00faltiplas arquiteturas de bin\u00e1rio e a segmenta\u00e7\u00e3o por banda indicam planejamento para maior resili\u00eancia e rentabilidade.<\/p>\n<p>Impacto e desdobramentos<\/p>\n<p>Dispositivos IoT de consumo, roteadores dom\u00e9sticos e servidores de jogos de pequeno porte aparecem como alvo principal. A descoberta refor\u00e7a a necessidade de fechar portas expostas, desativar ADB em produ\u00e7\u00e3o e monitorar tr\u00e1fego an\u00f4malo em redes dom\u00e9sticas e de pequenas empresas.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Pesquisadores da Hunt.io localizaram o botnet xlabs_v1, ativo no in\u00edcio de abril de 2026, que sequestra dispositivos IoT para lan\u00e7ar ataques DDoS.<\/li>\n<li>A opera\u00e7\u00e3o \u00e9 oferecida como servi\u00e7o pago, com foco em derrubar servidores de jogos, incluindo Minecraft, e a infraestrutura fica em hospedagens bulletproof na Holanda.<\/li>\n<li>O vetor de infec\u00e7\u00e3o \u00e9 o Android Debug Bridge (ADB); mais de quatro milh\u00f5es de hosts com ADB aberto foram identificados na internet nos \u00faltimos seis meses.<\/li>\n<li>O malware usa vinte e uma variantes de ataque (TCP, UDP e raw), incluindo m\u00e9todos voltados a jogos, como flood via RakNet, e tr\u00e1fego que imita OpenVPN.<\/li>\n<li>O operador \u00e9 identificado como Tadashi; o C2 fica em um dom\u00ednio pr\u00f3prio na Holanda, com fallback em porta 26721 e ind\u00edcios de rivalidade interna no underground.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Novo botnet xlabs_v1 usa ADB exposto para controlar IoT e oferecer ataques DDoS pagos, mirando servidores de Minecraft; atua\u00e7\u00e3o centralizada na Holanda","footnotes":""},"categories":[1],"tags":[],"class_list":["post-646045","post","type-post","status-publish","format-standard","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/646045","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=646045"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/646045\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=646045"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=646045"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=646045"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}