Novo Malware Revela Crescente Ataque Sistemático à Infraestrutura de Rede
Aprofundamento CEVIU
Aprofundamento
CondiBot e Monaco não são simples novas amostras de malware: são sinais claros de que a infraestrutura de rede virou alvo prioritário para ataques em escala industrial. CondiBot, derivado do Mirai mas com identificador interno 'QTXBOT', desativa watchdogs de hardware e altera permissões de arquivos críticos para 000, uma técnica que evita reinicializações forçadas e garante persistência mesmo em dispositivos sem sistema operacional completo. Ele caça concorrentes como Sora, o que mostra intenção de dominar redes comprometidas, não apenas explorá-las. Monaco, por sua vez, é mais agressivo na fase de entrada: brute-forces 3,6 bilhões de IPs com credenciais hardcoded, usa Go 1.24.0 para multiarquitetura (ARM32/ARM64/MIPS) e reporta credenciais via TCP cru, sem criptografia, sem camadas intermediárias, só eficiência suja.
Ambos operam abaixo da camada do SO, escapando de EDR/XDR convencionais. Isso não é acidente: é projeto. A Verizon confirmou aumento de oito vezes na exploração de vulnerabilidades em dispositivos de rede em 2025, com tempo médio de exploração zero e correção média de 30 dias. Ou seja, os atacantes estão entrando antes mesmo que as equipes de segurança saibam que há um problema.
Por que isso importa
Empresas não podem mais tratar roteadores, firewalls e switches como 'caixas mágicas' com firmware fechado e atualizações esporádicas. Esses dispositivos agora executam código malicioso com privilégios de kernel, minando criptomoedas ou servindo como nós DDoS, tudo sem deixar rastros em logs de aplicação ou processos usuais. A detecção exige monitoramento de baixo nível: alterações em /tmp/monaco, chmod 777 não autorizados, conexões TCP para portas incomuns (como 20480) e strings como 'QTXBOT' em memória ou disco. Ignorar essa camada é deixar uma porta aberta para ataques que não precisam passar pelo perímetro tradicional.
Perguntas frequentes
Por que CondiBot desabilita o watchdog de hardware?
Para evitar reinicializações automáticas que poderiam interromper sua execução. Dispositivos de rede frequentemente usam watchdogs para recuperar falhas, CondiBot neutraliza isso como parte de sua estratégia de persistência contínua.
Monaco usa Go 1.24.0. Isso é um risco adicional?
Sim. Go compila binários estáticos, sem dependências de runtime, o que facilita a execução em dispositivos com recursos limitados. A versão 1.24.0 também inclui melhorias em cross-compilação, permitindo que os atacantes gerem rapidamente variantes para ARM, MIPS e x86 a partir de um único ambiente de desenvolvimento.
Como o XMRig aparece nesse cenário se é uma ferramenta legítima?
XMRig é open source e amplamente usado por mineradores legítimos. Mas sua natureza leve, suporte a múltiplas arquiteturas e facilidade de configuração o tornam favorito entre criminosos. Sua presença em um dispositivo de rede quase sempre indica comprometimento, não uso autorizado.
Por que a Alibaba Cloud aparece como hospedagem de C2 para Monaco?
A infraestrutura da Alibaba Cloud é acessível, escalável e muitas vezes mal configurada por usuários finais. Atacantes exploram isso para esconder servidores C2, especialmente porque ferramentas nativas de detecção de ameaças ainda têm cobertura limitada em ambientes de nuvem pública de provedores asiáticos.
Fontes
- eclypsium.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 20 de março de 2026
- Editoria
- CEVIU Segurança da Informação
