Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Botnet sequestra dispositivos domésticos para comercializar ataques DDoS

Novo botnet xlabs_v1 usa ADB exposto para controlar IoT e oferecer ataques DDoS pagos, mirando servidores de Minecraft; atuação centralizada na Holanda

0:00
Carregando...
0:00
  • Pesquisadores da Hunt.io localizaram o botnet xlabs_v1, ativo no início de abril de 2026, que sequestra dispositivos IoT para lançar ataques DDoS.
  • A operação é oferecida como serviço pago, com foco em derrubar servidores de jogos, incluindo Minecraft, e a infraestrutura fica em hospedagens bulletproof na Holanda.
  • O vetor de infecção é o Android Debug Bridge (ADB); mais de quatro milhões de hosts com ADB aberto foram identificados na internet nos últimos seis meses.
  • O malware usa vinte e uma variantes de ataque (TCP, UDP e raw), incluindo métodos voltados a jogos, como flood via RakNet, e tráfego que imita OpenVPN.
  • O operador é identificado como Tadashi; o C2 fica em um domínio próprio na Holanda, com fallback em porta 26721 e indícios de rivalidade interna no underground.

O grupo de pesquisa Hunt.io identificou, no início de abril de 2026, um botnet denominado xlabs_v1 que sequestra dispositivos IoT conectados à internet para realizar ataques DDoS. A operação funciona como serviço pago, com foco em derrubar servidores de jogos, incluindo Minecraft, a partir de infraestrutura de hospedagem conhecida como bulletproof na Holanda.

O PLC de comando fica em um bloco de rede na Holanda, e o serviço é operado por um indivíduo identificado como Tadashi. A descoberta ocorreu após um servidor mal configurado expor o toolkit completo, permitindo aos pesquisadores acompanhar a operação em tempo real.

O que aconteceu

Um servidor com o IP 176.65.139.44 ficou aberto na porta 80, servindo um diretório sem autenticação. Em vez de uma página de login, havia arquivos do bot para download, incluindo o binário principal, scripts de infecção e credenciais de proxy. Dois arquivos foram automaticamente marcados como maliciosos pela ferramenta de análise.

Como funciona o ataque

O vetor de infecção é o ADB, exposto pela porta TCP 5555. Dispositivos com ADB ativo em produção, como Android TV boxes, decodificadores e roteadores, tornam-se alvos potenciais. Mais de 4 milhões de hosts com ADB aberto foram registrados nos últimos seis meses.

Como o bot opera

Após a infecção, xlabs_v1 se esconde como o processo /bin/bash e inicia, em seguida, 8.192 conexões simultâneas para medir a velocidade de upload do dispositivo. Com essa métrica, o operador define o preço por banda do ataque.

Quantos e quais ataques

O arsenal soma 21 variantes de flood, usando TCP, UDP e raw. Entre eles estão métodos para jogos, como flood via protocolo RakNet utilizado por Minecraft, e pacotes UDP que imitam tráfego de OpenVPN para dificultar a detecção.

Infraestrutura e comando

A infraestrutura está concentrada em quatro IPs dentro do bloco /24 da Offshore LC, na Holanda, sob o ASN AS214472. O painel de comando usa o domínio xlabslover.lol, com DNS por OpenNIC para maior resiliência. Em caso de falha de conexão, o bot abre a porta 26721 como fallback.

Quem está envolvido

O operador usa o handle Tadashi, criptografado nos builds com ChaCha20. A chave fraca reutilizada facilitou a recuperação de strings, permitindo compreender a identidade do operador e a tabela de strings do malware. Testemunhos também indicam uma disputa interna com um fork rival.

Por que importa

A avaliação dos pesquisadores aponta nível intermediário de sofisticação, superior a variações simples de Mirai. O uso de criptografia, múltiplas arquiteturas de binário e a segmentação por banda indicam planejamento para maior resiliência e rentabilidade.

Impacto e desdobramentos

Dispositivos IoT de consumo, roteadores domésticos e servidores de jogos de pequeno porte aparecem como alvo principal. A descoberta reforça a necessidade de fechar portas expostas, desativar ADB em produção e monitorar tráfego anômalo em redes domésticas e de pequenas empresas.

Relacionados:

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais