- Pesquisadores da Hunt.io localizaram o botnet xlabs_v1, ativo no início de abril de 2026, que sequestra dispositivos IoT para lançar ataques DDoS.
- A operação é oferecida como serviço pago, com foco em derrubar servidores de jogos, incluindo Minecraft, e a infraestrutura fica em hospedagens bulletproof na Holanda.
- O vetor de infecção é o Android Debug Bridge (ADB); mais de quatro milhões de hosts com ADB aberto foram identificados na internet nos últimos seis meses.
- O malware usa vinte e uma variantes de ataque (TCP, UDP e raw), incluindo métodos voltados a jogos, como flood via RakNet, e tráfego que imita OpenVPN.
- O operador é identificado como Tadashi; o C2 fica em um domínio próprio na Holanda, com fallback em porta 26721 e indícios de rivalidade interna no underground.
O grupo de pesquisa Hunt.io identificou, no início de abril de 2026, um botnet denominado xlabs_v1 que sequestra dispositivos IoT conectados à internet para realizar ataques DDoS. A operação funciona como serviço pago, com foco em derrubar servidores de jogos, incluindo Minecraft, a partir de infraestrutura de hospedagem conhecida como bulletproof na Holanda.
O PLC de comando fica em um bloco de rede na Holanda, e o serviço é operado por um indivíduo identificado como Tadashi. A descoberta ocorreu após um servidor mal configurado expor o toolkit completo, permitindo aos pesquisadores acompanhar a operação em tempo real.
O que aconteceu
Um servidor com o IP 176.65.139.44 ficou aberto na porta 80, servindo um diretório sem autenticação. Em vez de uma página de login, havia arquivos do bot para download, incluindo o binário principal, scripts de infecção e credenciais de proxy. Dois arquivos foram automaticamente marcados como maliciosos pela ferramenta de análise.
Como funciona o ataque
O vetor de infecção é o ADB, exposto pela porta TCP 5555. Dispositivos com ADB ativo em produção, como Android TV boxes, decodificadores e roteadores, tornam-se alvos potenciais. Mais de 4 milhões de hosts com ADB aberto foram registrados nos últimos seis meses.
Como o bot opera
Após a infecção, xlabs_v1 se esconde como o processo /bin/bash e inicia, em seguida, 8.192 conexões simultâneas para medir a velocidade de upload do dispositivo. Com essa métrica, o operador define o preço por banda do ataque.
Quantos e quais ataques
O arsenal soma 21 variantes de flood, usando TCP, UDP e raw. Entre eles estão métodos para jogos, como flood via protocolo RakNet utilizado por Minecraft, e pacotes UDP que imitam tráfego de OpenVPN para dificultar a detecção.
Infraestrutura e comando
A infraestrutura está concentrada em quatro IPs dentro do bloco /24 da Offshore LC, na Holanda, sob o ASN AS214472. O painel de comando usa o domínio xlabslover.lol, com DNS por OpenNIC para maior resiliência. Em caso de falha de conexão, o bot abre a porta 26721 como fallback.
Quem está envolvido
O operador usa o handle Tadashi, criptografado nos builds com ChaCha20. A chave fraca reutilizada facilitou a recuperação de strings, permitindo compreender a identidade do operador e a tabela de strings do malware. Testemunhos também indicam uma disputa interna com um fork rival.
Por que importa
A avaliação dos pesquisadores aponta nível intermediário de sofisticação, superior a variações simples de Mirai. O uso de criptografia, múltiplas arquiteturas de binário e a segmentação por banda indicam planejamento para maior resiliência e rentabilidade.
Impacto e desdobramentos
Dispositivos IoT de consumo, roteadores domésticos e servidores de jogos de pequeno porte aparecem como alvo principal. A descoberta reforça a necessidade de fechar portas expostas, desativar ADB em produção e monitorar tráfego anômalo em redes domésticas e de pequenas empresas.
Entre na conversa da comunidade