Operação holandesa derruba botnet com 17 milhões de dispositivos ligada a provedor russo
Aprofundamento CEVIU
Aprofundamento
A botnet Asocks não era só uma rede de dispositivos comprometidos, era uma fábrica de anonimato para criminosos. Com 17 milhões de celulares e roteadores infectados via Proxylib, ela vendia acesso a IPs residenciais reais (não servidores virtuais) por menos de US$3/GB, permitindo que ataques de phishing, fraude bancária e DDoS passassem despercebidos por firewalls e sistemas de detecção baseados em reputação de IP. O malware, embutido em apps Android disfarçados de VPNs gratuitas ou mesmo em SDKs legítimos como o LumiApps, atuava em segundo plano, sem interface visível, redirecionando tráfego comum para os servidores C2 na Holanda, que agora foram apreendidos.
O ponto crítico: os 200 servidores derrubados eram apenas a ponta do iceberg. Os dispositivos permanecem infectados, e o código malicioso não é removido automaticamente com a perda da infraestrutura. Sem atualizações de firmware ou reinstalação limpa, roteadores ASUS antigos (como os alvos da RondoDox) e celulares Android com apps maliciosos continuam como nós ativos, prontos para serem recrutados novamente assim que novos servidores C2 forem ativados. Isso transforma a operação holandesa em um golpe cirúrgico na logística, não na raiz técnica do problema.
O que mudou
Na cobertura de 26 de maio, a Holanda apreendeu 800 servidores de uma empresa de hospedagem genérica que facilitava ataques. Agora, os mesmos órgãos identificaram e desativaram 200 servidores *específicos* da Asocks, uma infraestrutura dedicada, comercializada como proxy residencial, mas usada como backbone de crime organizado. O salto não é só quantitativo: é estrutural. Enquanto a ação anterior atacava fornecedores de 'infraestrutura em bruto', esta mirou um serviço de cibersegurança invertida, que vende anonimato como produto, com SLA, preços fixos e suporte técnico. Também há evolução no método de infecção: o Proxylib, citado pela primeira vez em abril de 2024, agora aparece como vetor consolidado em larga escala, não mais como ameaça emergente.
Por que isso importa
Empresas brasileiras que usam proxies residenciais para testes de geolocalização, scraping ou validação de campanhas estão expostas a dois riscos imediatos: primeiro, seus próprios IPs podem ter sido incluídos na rede Asocks sem saber, o que pode levar à blacklist de serviços como PayPal, Mercado Livre ou bancos digitais. Segundo, a persistência do malware nos dispositivos significa que redes corporativas com roteadores domésticos (usados em home office) ou celulares pessoais conectados ao Wi-Fi do escritório ainda carregam backdoors ativos. Não é só sobre 'evitar vírus': é sobre entender que um app de VPN gratuito instalado por um funcionário pode virar um canal de exfiltração de dados da sua rede interna.
Linha do tempo
Desativação da First VPN, usada por 25 grupos de ransomware
Apreensão de 800 servidores de hospedagem em data centers holandeses
Desativação da botnet Glassworm com infraestrutura C2 distribuída
Operação holandesa derruba botnet Asocks com 17 milhões de dispositivos e 200 servidores C2
Perguntas frequentes
Meu roteador ou celular foi infectado? Como sei?
Não há alerta óbvio. Verifique se você instalou apps Android com permissões de 'acesso total à rede' ou 'modificação de sistema' sem necessidade real, especialmente VPNs gratuitas, limpadores de bateria ou 'aceleradores'. Para roteadores, acesse a interface de administração e confira se há redirecionamentos inesperados em DNS ou configurações de proxy que você não configurou.
A remoção dos servidores da Asocks resolve o problema?
Não. O malware continua instalado nos 17 milhões de dispositivos. A rede está temporariamente cega, mas o código permanece ativo. Sem desinstalação manual, atualização de firmware ou restauração de fábrica, esses dispositivos podem ser reativados assim que novos servidores C2 forem colocados no ar, o que já ocorreu com outras botnets como a Glassworm.
Por que a Holanda agiu e não a Rússia ou EUA?
A Asocks registrava seus servidores de comando e controle fisicamente na Holanda, território sob jurisdição direta do NCSC e da polícia holandesa. Embora a empresa tenha sede legal nos EUA e equipe de origem russa, os 200 servidores apreendidos estavam em data centers de Dronten e Schiphol-Rijk, o mesmo local onde foram confiscados os 800 servidores da operação anterior. A infraestrutura física define a jurisdição operacional.
Essa botnet tem ligação com ransomware?
Não diretamente. Asocks não criptografava dados nem exigia resgate. Sua função era fornecer anonimato e tráfego limpo para fraudes, phishing e ataques de credential stuffing. No entanto, ela foi usada por pelo menos 12 grupos de ransomware listados na operação First VPN (25 de maio) para ocultar a origem de acessos iniciais a redes corporativas, um elo indireto, mas funcional, entre infraestrutura de proxy e extorsão.
Fontes
- arstechnica.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
