Empresa Anti-DDoS Brasileira Usou Botnet para Atacar Provedores de Internet no País
Uma empresa brasileira de segurança cibernética, especializada em proteção contra ataques DDoS, foi exposta por orquestrar ataques massivos contra outros provedores de internet no Brasil. A descoberta revela o uso de uma botnet para realizar os ataques, levantando suspeitas sobre a motivação por trás das ações.
MundiX News·11 de maio de 2026·7 min de leitura·👁 21 views
Uma empresa brasileira de tecnologia que se especializa em proteger redes contra ataques distribuídos de negação de serviço (DDoS) tem sido a responsável por uma botnet que conduziu uma extensa campanha de ataques DDoS massivos contra outros operadores de rede no Brasil, conforme apurado pelo KrebsOnSecurity. O diretor executivo da empresa afirma que a atividade maliciosa resultou de uma violação de segurança e provavelmente foi obra de um concorrente tentando manchar a imagem pública de sua empresa.
Nos últimos anos, especialistas em segurança têm rastreado uma série de ataques DDoS massivos originados no Brasil e direcionados exclusivamente a provedores de internet (ISPs) brasileiros. Até recentemente, não estava claro quem ou o que estava por trás desses cercos digitais. Isso mudou no início deste mês, quando uma fonte confiável que pediu para permanecer anônima compartilhou um curioso arquivo exposto em um diretório aberto online. O arquivo exposto continha vários programas maliciosos em português, escritos em Python. Ele também incluía as chaves de autenticação SSH privadas pertencentes ao CEO da Huge Networks, um ISP brasileiro que oferece principalmente proteção DDoS a outros operadores de rede brasileiros. Fundada em Miami, Flórida, em 2014, as operações da Huge Networks estão centradas no Brasil. A empresa surgiu da proteção de servidores de jogos contra ataques DDoS e evoluiu para um provedor de mitigação DDoS focado em ISPs. Ela não aparece em nenhuma reclamação pública de abuso e não está associada a nenhum serviço conhecido de DDoS-for-hire.
No entanto, o arquivo exposto mostra que um ator de ameaças com base no Brasil manteve acesso root à infraestrutura da Huge Networks e construiu uma poderosa botnet DDoS, rotineiramente fazendo varreduras em massa na Internet em busca de roteadores de Internet inseguros e servidores de sistema de nomes de domínio (DNS) não gerenciados na Web que poderiam ser recrutados em ataques. DNS é o que permite que os usuários da Internet acessem sites digitando nomes de domínio familiares em vez dos endereços IP associados. Idealmente, os servidores DNS fornecem respostas apenas a máquinas dentro de um domínio confiável. Mas os chamados ataques de "reflexão DNS" dependem de servidores DNS que são (mal)configurados para aceitar consultas de qualquer lugar da Web. Os invasores podem enviar consultas DNS falsificadas a esses servidores para que a solicitação pareça vir da rede da vítima. Dessa forma, quando os servidores DNS respondem, eles respondem ao endereço falsificado (alvo). Ao tirar proveito de uma extensão do protocolo DNS que permite grandes mensagens DNS, os botmasters podem aumentar drasticamente o tamanho e o impacto de um ataque de reflexão - criando consultas DNS para que as respostas sejam muito maiores do que as solicitações. Por exemplo, um invasor pode compor uma solicitação DNS de menos de 100 bytes, solicitando uma resposta que é 60 a 70 vezes maior. Esse efeito de amplificação é especialmente pronunciado quando os perpetradores podem consultar muitos servidores DNS com essas solicitações falsificadas de dezenas de milhares de dispositivos comprometidos simultaneamente.
O arquivo exposto inclui um histórico de linha de comando mostrando exatamente como esse invasor construiu e manteve uma poderosa botnet vasculhando a Internet em busca de roteadores TP-Link Archer AX21. Especificamente, a botnet procura dispositivos TP-Link que permanecem vulneráveis ao CVE-2023-1389, uma vulnerabilidade de injeção de comando não autenticada que foi corrigida em abril de 2023. Domínios maliciosos nos scripts de ataque Python expostos incluíam pesquisas DNS para hikylover[.]st e c.loyaltyservices[.]lol, ambos os domínios que foram sinalizados no ano passado como servidores de controle para uma botnet de Internet das Coisas (IoT) alimentada por uma variante de malware Mirai. O arquivo vazado mostra que o botmaster coordenou sua varredura de um servidor Digital Ocean que foi sinalizado por atividade abusiva centenas de vezes no ano passado. Os scripts Python invocam vários endereços de Internet atribuídos à Huge Networks que foram usados para identificar alvos e executar campanhas DDoS. Os ataques foram estritamente limitados a intervalos de endereços IP brasileiros, e os scripts mostram que cada prefixo de endereço IP selecionado foi atacado por 10-60 segundos com quatro processos paralelos por host antes que a botnet passasse para o próximo alvo. O arquivo também mostra que esses scripts Python maliciosos dependiam de chaves SSH privadas pertencentes ao CEO da Huge Networks, Erick Nascimento. Contatado para comentar sobre os arquivos, o Sr. Nascimento disse que não escreveu os programas de ataque e que não percebeu a extensão das campanhas DDoS até ser contatado pelo KrebsOnSecurity.
"Recebemos e notificamos muitos Tier 1 upstreams sobre ataques DDoS muito grandes contra pequenos ISPs", disse Nascimento. "Não investigamos a fundo na época, e o que você enviou deixa isso claro." Nascimento disse que a atividade não autorizada provavelmente está relacionada a uma intrusão digital detectada pela primeira vez em janeiro de 2026 que comprometeu dois dos servidores de desenvolvimento da empresa, bem como suas chaves SSH pessoais. Mas ele disse que não há evidências de que essas chaves tenham sido usadas após janeiro. "Notificamos a equipe por escrito no mesmo dia, limpamos as caixas e rotacionamos as chaves", disse Nascimento, compartilhando uma captura de tela de uma notificação de 11 de janeiro da Digital Ocean. "Tudo documentado internamente." O Sr. Nascimento disse que a Huge Networks desde então contratou uma empresa de perícia forense de rede terceirizada para investigar mais a fundo. "Nossa avaliação de trabalho até agora é que tudo isso começou com um único comprometimento interno - um ponto de pivô que deu ao invasor acesso downstream a alguns recursos, incluindo um droplet pessoal legado meu", escreveu ele. "O comprometimento aconteceu por meio de um servidor bastion/jump ao qual várias pessoas tinham acesso", continuou Nascimento. "A Digital Ocean sinalizou o droplet em 11 de janeiro - comprometido devido a uma chave SSH vazada, em suas palavras - eu estava viajando na época e tratei disso na volta. Esse droplet foi descontinuado e destruído, e nunca fez parte da infraestrutura da Huge Networks." O software malicioso que alimenta a botnet de dispositivos TP-Link usados nos ataques DDoS contra ISPs brasileiros é baseado em Mirai, uma cepa de malware que fez sua estreia pública em setembro de 2016, lançando um ataque DDoS que então quebrou recordes e manteve este site offline por quatro dias. Em janeiro de 2017, KrebsOnSecurity identificou os autores do Mirai como os co-proprietários de uma empresa de mitigação DDoS que estava usando a botnet para atacar servidores de jogos e assustar novos clientes. Em maio de 2025, KrebsOnSecurity foi atingido por outro DDoS baseado em Mirai que o Google chamou de o maior ataque que já havia mitigado. Esse relatório implicou um homem brasileiro de 20 e poucos anos que estava executando uma empresa de mitigação DDoS, bem como vários serviços de DDoS-for-hire que desde então foram apreendidos pelo FBI. Nascimento negou categoricamente estar envolvido em ataques DDoS contra operadores brasileiros para gerar negócios para os serviços de sua empresa. "Não realizamos ataques DDoS contra operadores brasileiros para vender proteção", escreveu Nascimento em resposta às perguntas. "Nosso modelo de vendas é principalmente inbound e por meio de integradores de canal, distribuidores, parceiros - não prospecção ativa com base em incidentes de mercado. Os alvos nos scripts que você recebeu são pequenos provedores regionais, a grande maioria dos quais não está em nossa base de clientes nem em nosso pipeline comercial - um fato verificável por meio de fontes públicas como QRator." Nascimento afirma que tem "fortes evidências armazenadas na blockchain" de que tudo isso foi feito por um concorrente. Quanto a quem poderia ser esse concorrente, o CEO não quis dizer. "Eu adoraria compartilhar isso com você, mas não poderia ser publicado, pois perderia o fator surpresa contra meu concorrente desonesto", explicou ele. "Coincidentemente ou não, seu contato aconteceu uma semana antes de um evento importante - um evento em que esse concorrente NUNCA participou (e é um evento tradicional no setor). E este ano, eles participarão. Estranho, não é?" Estranho, de fato.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma empresa brasileira de tecnologia que se especializa em proteger redes contra ataques distribuídos de negação de serviço (DDoS) tem sido a responsável por uma botnet que conduziu uma extensa campanha de ataques DDoS massivos contra outros operadores de rede no Brasil, conforme apurado pelo KrebsOnSecurity. O diretor executivo da empresa afirma que a atividade maliciosa resultou de uma violação de segurança e provavelmente foi obra de um concorrente tentando manchar a imagem pública de sua empresa.
Nos últimos anos, especialistas em segurança têm rastreado uma série de ataques DDoS massivos originados no Brasil e direcionados exclusivamente a provedores de internet (ISPs) brasileiros. Até recentemente, não estava claro quem ou o que estava por trás desses cercos digitais. Isso mudou no início deste mês, quando uma fonte confiável que pediu para permanecer anônima compartilhou um curioso arquivo exposto em um diretório aberto online. O arquivo exposto continha vários programas maliciosos em português, escritos em Python. Ele também incluía as chaves de autenticação SSH privadas pertencentes ao CEO da Huge Networks, um ISP brasileiro que oferece principalmente proteção DDoS a outros operadores de rede brasileiros. Fundada em Miami, Flórida, em 2014, as operações da Huge Networks estão centradas no Brasil. A empresa surgiu da proteção de servidores de jogos contra ataques DDoS e evoluiu para um provedor de mitigação DDoS focado em ISPs. Ela não aparece em nenhuma reclamação pública de abuso e não está associada a nenhum serviço conhecido de DDoS-for-hire.
No entanto, o arquivo exposto mostra que um ator de ameaças com base no Brasil manteve acesso root à infraestrutura da Huge Networks e construiu uma poderosa botnet DDoS, rotineiramente fazendo varreduras em massa na Internet em busca de roteadores de Internet inseguros e servidores de sistema de nomes de domínio (DNS) não gerenciados na Web que poderiam ser recrutados em ataques. DNS é o que permite que os usuários da Internet acessem sites digitando nomes de domínio familiares em vez dos endereços IP associados. Idealmente, os servidores DNS fornecem respostas apenas a máquinas dentro de um domínio confiável. Mas os chamados ataques de "reflexão DNS" dependem de servidores DNS que são (mal)configurados para aceitar consultas de qualquer lugar da Web. Os invasores podem enviar consultas DNS falsificadas a esses servidores para que a solicitação pareça vir da rede da vítima. Dessa forma, quando os servidores DNS respondem, eles respondem ao endereço falsificado (alvo). Ao tirar proveito de uma extensão do protocolo DNS que permite grandes mensagens DNS, os botmasters podem aumentar drasticamente o tamanho e o impacto de um ataque de reflexão - criando consultas DNS para que as respostas sejam muito maiores do que as solicitações. Por exemplo, um invasor pode compor uma solicitação DNS de menos de 100 bytes, solicitando uma resposta que é 60 a 70 vezes maior. Esse efeito de amplificação é especialmente pronunciado quando os perpetradores podem consultar muitos servidores DNS com essas solicitações falsificadas de dezenas de milhares de dispositivos comprometidos simultaneamente.
O arquivo exposto inclui um histórico de linha de comando mostrando exatamente como esse invasor construiu e manteve uma poderosa botnet vasculhando a Internet em busca de roteadores TP-Link Archer AX21. Especificamente, a botnet procura dispositivos TP-Link que permanecem vulneráveis ao CVE-2023-1389, uma vulnerabilidade de injeção de comando não autenticada que foi corrigida em abril de 2023. Domínios maliciosos nos scripts de ataque Python expostos incluíam pesquisas DNS para hikylover[.]st e c.loyaltyservices[.]lol, ambos os domínios que foram sinalizados no ano passado como servidores de controle para uma botnet de Internet das Coisas (IoT) alimentada por uma variante de malware Mirai. O arquivo vazado mostra que o botmaster coordenou sua varredura de um servidor Digital Ocean que foi sinalizado por atividade abusiva centenas de vezes no ano passado. Os scripts Python invocam vários endereços de Internet atribuídos à Huge Networks que foram usados para identificar alvos e executar campanhas DDoS. Os ataques foram estritamente limitados a intervalos de endereços IP brasileiros, e os scripts mostram que cada prefixo de endereço IP selecionado foi atacado por 10-60 segundos com quatro processos paralelos por host antes que a botnet passasse para o próximo alvo. O arquivo também mostra que esses scripts Python maliciosos dependiam de chaves SSH privadas pertencentes ao CEO da Huge Networks, Erick Nascimento. Contatado para comentar sobre os arquivos, o Sr. Nascimento disse que não escreveu os programas de ataque e que não percebeu a extensão das campanhas DDoS até ser contatado pelo KrebsOnSecurity.
"Recebemos e notificamos muitos Tier 1 upstreams sobre ataques DDoS muito grandes contra pequenos ISPs", disse Nascimento. "Não investigamos a fundo na época, e o que você enviou deixa isso claro." Nascimento disse que a atividade não autorizada provavelmente está relacionada a uma intrusão digital detectada pela primeira vez em janeiro de 2026 que comprometeu dois dos servidores de desenvolvimento da empresa, bem como suas chaves SSH pessoais. Mas ele disse que não há evidências de que essas chaves tenham sido usadas após janeiro. "Notificamos a equipe por escrito no mesmo dia, limpamos as caixas e rotacionamos as chaves", disse Nascimento, compartilhando uma captura de tela de uma notificação de 11 de janeiro da Digital Ocean. "Tudo documentado internamente." O Sr. Nascimento disse que a Huge Networks desde então contratou uma empresa de perícia forense de rede terceirizada para investigar mais a fundo. "Nossa avaliação de trabalho até agora é que tudo isso começou com um único comprometimento interno - um ponto de pivô que deu ao invasor acesso downstream a alguns recursos, incluindo um droplet pessoal legado meu", escreveu ele. "O comprometimento aconteceu por meio de um servidor bastion/jump ao qual várias pessoas tinham acesso", continuou Nascimento. "A Digital Ocean sinalizou o droplet em 11 de janeiro - comprometido devido a uma chave SSH vazada, em suas palavras - eu estava viajando na época e tratei disso na volta. Esse droplet foi descontinuado e destruído, e nunca fez parte da infraestrutura da Huge Networks." O software malicioso que alimenta a botnet de dispositivos TP-Link usados nos ataques DDoS contra ISPs brasileiros é baseado em Mirai, uma cepa de malware que fez sua estreia pública em setembro de 2016, lançando um ataque DDoS que então quebrou recordes e manteve este site offline por quatro dias. Em janeiro de 2017, KrebsOnSecurity identificou os autores do Mirai como os co-proprietários de uma empresa de mitigação DDoS que estava usando a botnet para atacar servidores de jogos e assustar novos clientes. Em maio de 2025, KrebsOnSecurity foi atingido por outro DDoS baseado em Mirai que o Google chamou de o maior ataque que já havia mitigado. Esse relatório implicou um homem brasileiro de 20 e poucos anos que estava executando uma empresa de mitigação DDoS, bem como vários serviços de DDoS-for-hire que desde então foram apreendidos pelo FBI. Nascimento negou categoricamente estar envolvido em ataques DDoS contra operadores brasileiros para gerar negócios para os serviços de sua empresa. "Não realizamos ataques DDoS contra operadores brasileiros para vender proteção", escreveu Nascimento em resposta às perguntas. "Nosso modelo de vendas é principalmente inbound e por meio de integradores de canal, distribuidores, parceiros - não prospecção ativa com base em incidentes de mercado. Os alvos nos scripts que você recebeu são pequenos provedores regionais, a grande maioria dos quais não está em nossa base de clientes nem em nosso pipeline comercial - um fato verificável por meio de fontes públicas como QRator." Nascimento afirma que tem "fortes evidências armazenadas na blockchain" de que tudo isso foi feito por um concorrente. Quanto a quem poderia ser esse concorrente, o CEO não quis dizer. "Eu adoraria compartilhar isso com você, mas não poderia ser publicado, pois perderia o fator surpresa contra meu concorrente desonesto", explicou ele. "Coincidentemente ou não, seu contato aconteceu uma semana antes de um evento importante - um evento em que esse concorrente NUNCA participou (e é um evento tradicional no setor). E este ano, eles participarão. Estranho, não é?" Estranho, de fato.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
