Uma investigação aprofundada revela os atores e infraestruturas que lucraram com a disseminação das botnets Aisuru e Kimwolf, explorando dispositivos Android TV não oficiais para ataques DDoS e serviços de proxy residencial.
MundiX News·13 de abril de 2026·15 min de leitura·👁 4 views
Nossa primeira reportagem de 2026 revelou como uma nova botnet destrutiva chamada Kimwolf infectou mais de dois milhões de dispositivos, comprometendo massivamente um grande número de Android TV streaming boxes não oficiais. Hoje, vamos investigar as pistas digitais deixadas pelos hackers, operadores de rede e serviços que parecem ter se beneficiado da disseminação da Kimwolf.
Em 17 de dezembro de 2025, a empresa chinesa de segurança XLab publicou uma análise detalhada sobre a Kimwolf, que força os dispositivos infectados a participar de ataques de negação de serviço distribuídos (DDoS) e a retransmitir tráfego de Internet abusivo e malicioso para os chamados serviços de "proxy residencial".
O software que transforma um dispositivo em um proxy residencial é frequentemente agrupado silenciosamente com aplicativos e jogos para dispositivos móveis. A Kimwolf tinha como alvo específico o software de proxy residencial que é instalado de fábrica em mais de mil modelos diferentes de dispositivos de streaming Android TV não autorizados. Muito rapidamente, o endereço de Internet do proxy residencial começa a canalizar tráfego ligado a fraudes de anúncios, tentativas de account takeover e raspagem massiva de conteúdo.
O relatório da XLab explicou que seus pesquisadores encontraram "evidências definitivas" de que os mesmos atores e infraestrutura cibercriminosos foram usados para implantar tanto a Kimwolf quanto a botnet Aisuru — uma versão anterior da Kimwolf que também escravizava dispositivos para uso em ataques DDoS e serviços de proxy. A XLab disse que suspeitava desde outubro que Kimwolf e Aisuru tinham o(s) mesmo(s) autor(es) e operadores, com base em parte em mudanças de código compartilhadas ao longo do tempo. Mas disse que essas suspeitas foram confirmadas em 8 de dezembro, quando testemunhou ambas as variantes de botnet sendo distribuídas pelo mesmo endereço de Internet em 93.95.112[.]59.
Registros públicos mostram que a faixa de endereços de Internet sinalizada pela XLab é atribuída à Resi Rack LLC, com sede em Lehi, Utah. O site da Resi Rack descreve a empresa como um "Provedor Premium de Hospedagem de Servidores de Jogos". Enquanto isso, os anúncios da Resi Rack no fórum de monetização da Internet BlackHatWorld se referem a ela como uma "Empresa Premium de Hospedagem de Proxy Residencial e Soluções de Software de Proxy".
O cofundador da Resi Rack, Cassidy Hales, disse à KrebsOnSecurity que sua empresa recebeu uma notificação em 10 de dezembro sobre a Kimwolf usando sua rede "que detalhava o que estava sendo feito por um de nossos clientes que alugava nossos servidores".
"Quando recebemos este e-mail, cuidamos deste problema imediatamente", escreveu Hales em resposta a um e-mail solicitando comentários. "Isto é algo que estamos muito desapontados por estar agora associado ao nosso nome e esta não era a intenção da nossa empresa de forma alguma."
O endereço de Internet da Resi Rack citado pela XLab em 8 de dezembro chamou a atenção da KrebsOnSecurity mais de duas semanas antes disso.
Benjamin Brundage é fundador da Synthient, uma startup que rastreia serviços de proxy. No final de outubro de 2025, Brundage compartilhou que as pessoas que vendiam vários serviços de proxy que se beneficiavam das botnets Aisuru e Kimwolf estavam fazendo isso em um novo servidor Discord chamado resi[.]to.
Quando a KrebsOnSecurity entrou no canal Discord resi[.]to no final de outubro como um observador silencioso, o servidor tinha menos de 150 membros, incluindo "Shox" — o apelido usado pelo cofundador da Resi Rack, Sr. Hales — e seu parceiro de negócios "Linus", que não respondeu aos pedidos de comentários.
Outros membros do canal Discord resi[.]to periodicamente postavam novos endereços IP que eram responsáveis por encaminhar tráfego através de Android TV streaming boxes infectados pela botnet Kimwolf. Como mostra a captura de tela de resi[.]to acima, esse endereço de Internet da Resi Rack sinalizado pela XLab foi usado pela Kimwolf para direcionar o tráfego de proxy desde 24 de novembro, se não antes. Ao todo, a Synthient disse que rastreou pelo menos sete endereços IP estáticos da Resi Rack conectados à infraestrutura de proxy da Kimwolf entre outubro e dezembro de 2025.
Nenhum dos co-proprietários da Resi Rack respondeu a perguntas de acompanhamento. Ambos têm estado ativos na venda de serviços de proxy via Discord por quase dois anos. De acordo com uma revisão das mensagens do Discord indexadas pela empresa de inteligência cibernética Flashpoint, Shox e Linus passaram grande parte de 2024 vendendo "proxies ISP" estáticos, roteando vários blocos de endereços de Internet em grandes provedores de serviços de Internet dos EUA.
Em fevereiro de 2025, a AT&T anunciou que, a partir de 31 de julho de 2025, não mais originaria rotas para blocos de rede que não fossem de propriedade e gerenciados pela AT&T (outros grandes ISPs fizeram movimentos semelhantes desde então). Menos de um mês depois, Shox e Linus disseram aos clientes que em breve deixariam de oferecer proxies ISP estáticos como resultado dessas mudanças de política.
O proprietário declarado do servidor Discord resi[.]to usava o nome de usuário abreviado "D.". Essa inicial parece ser abreviação do hacker handle "Dort", um nome que era invocado frequentemente ao longo desses chats do Discord.
Esse apelido "Dort" surgiu nas conversas recentes da KrebsOnSecurity com "Forky", um brasileiro que reconheceu estar envolvido no marketing da botnet Aisuru em seu início no final de 2024. Mas Forky negou veementemente ter qualquer coisa a ver com uma série de ataques DDoS massivos e recordes na segunda metade de 2025 que foram atribuídos à Aisuru, dizendo que a botnet a essa altura havia sido tomada por rivais.
Forky afirma que Dort é residente do Canadá e um de pelo menos dois indivíduos atualmente no controle da botnet Aisuru/Kimwolf. O outro indivíduo que Forky nomeou como um botmaster da Aisuru/Kimwolf usa o apelido "Snow".
Em 2 de janeiro — apenas horas depois que nossa história sobre a Kimwolf foi publicada — os registros históricos de bate-papo em resi[.]to foram apagados sem aviso e substituídos por uma mensagem cheia de palavrões para o fundador da Synthient. Minutos depois disso, todo o servidor desapareceu.
Mais tarde naquele mesmo dia, vários dos membros mais ativos do agora extinto servidor Discord resi[.]to mudaram-se para um canal do Telegram onde postaram as informações pessoais de Brundage e geralmente reclamaram de serem incapazes de encontrar hospedagem "à prova de balas" confiável para sua botnet.
De forma hilária, um usuário com o nome de "Richard Remington" apareceu brevemente no servidor Telegram do grupo para postar um esboço grosseiro de "Feliz Ano Novo" que afirma que Dort e Snow agora estão no controle de 3,5 milhões de dispositivos infectados pela Aisuru e/ou Kimwolf. A conta do Telegram de Richard Remington foi excluída desde então, mas anteriormente afirmava que seu proprietário opera um site que atende a serviços de DDoS sob demanda ou "stresser" que buscam testar seu poder de fogo.
Relatórios da Synthient e da XLab descobriram que a Kimwolf foi usada para implantar programas que transformavam sistemas infectados em retransmissores de tráfego de Internet para vários serviços de proxy residencial. Entre eles estava um componente que instalava um software development kit (SDK) chamado ByteConnect, que é distribuído por um provedor conhecido como Plainproxies.
ByteConnect diz que se especializa em "monetizar aplicativos de forma ética e gratuita", enquanto Plainproxies anuncia a capacidade de fornecer às empresas de raspagem de conteúdo pools de proxy "ilimitados". No entanto, a Synthient disse que, ao se conectar ao SDK da ByteConnect, eles observaram um influxo massivo de ataques de credential stuffing visando servidores de e-mail e sites online populares.
Uma pesquisa no LinkedIn revela que o CEO da Plainproxies é Friedrich Kraft, cujo currículo diz que ele é cofundador da ByteConnect Ltd. Registros públicos de roteamento da Internet mostram que o Sr. Kraft também opera uma empresa de hospedagem na Alemanha chamada 3XK Tech GmbH. O Sr. Kraft não respondeu a repetidos pedidos de entrevista.
Em julho de 2025, a Cloudflare relatou que a 3XK Tech (a.k.a. Drei-K-Tech) havia se tornado a maior fonte de ataques DDoS na camada de aplicação da Internet. Em novembro de 2025, a empresa de segurança GreyNoise Intelligence descobriu que os endereços de Internet na 3XK Tech eram responsáveis por aproximadamente três quartos da varredura da Internet que estava sendo feita na época para uma vulnerabilidade recém-descoberta e crítica em produtos de segurança feitos pela Palo Alto Networks.
O LinkedIn tem um perfil para outra funcionária da Plainproxies, Julia Levi, que está listada como cofundadora da ByteConnect. A Sra. Levi não respondeu aos pedidos de comentários. Seu currículo diz que ela trabalhou anteriormente para dois grandes provedores de proxy: Netnut Proxy Network e Bright Data.
A Synthient também disse que a Plainproxies ignorou seu contato, observando que o SDK da Byteconnect continua ativo em dispositivos comprometidos pela Kimwolf.
O relatório de 2 de janeiro da Synthient disse que outro provedor de proxy fortemente envolvido na venda de proxies Kimwolf era a Maskify, que atualmente anuncia em vários fóruns de cibercrime que tem mais de seis milhões de endereços de Internet residenciais para aluguel.
A Maskify precifica seu serviço a uma taxa de 30 centavos por gigabyte de dados retransmitidos por meio de seus proxies. De acordo com a Synthient, essa faixa de preço é incrivelmente baixa e é muito mais barata do que qualquer outro provedor de proxy em atividade hoje.
"A equipe de pesquisa da Synthient recebeu capturas de tela de outros provedores de proxy mostrando atores-chave da Kimwolf tentando descarregar largura de banda de proxy em troca de dinheiro adiantado", observou o relatório da Synthient. "Essa abordagem provavelmente ajudou a impulsionar o desenvolvimento inicial, com membros associados gastando ganhos em infraestrutura e tarefas de desenvolvimento terceirizadas. Observe que os revendedores sabem precisamente o que estão vendendo; proxies a esses preços não são obtidos eticamente."
A Maskify não respondeu aos pedidos de comentários.
Horas depois que nossa primeira história sobre a Kimwolf foi publicada na semana passada, o servidor Discord resi[.]to desapareceu, o site da Synthient foi atingido por um ataque DDoS e os botmasters da Kimwolf começaram a fazer doxing de Brundage por meio de sua botnet.
As mensagens de assédio apareceram como registros de texto carregados no Ethereum Name Service (ENS), um sistema distribuído para suportar contratos inteligentes implantados no blockchain Ethereum. Conforme documentado pela XLab, em meados de dezembro os operadores da Kimwolf atualizaram sua infraestrutura e começaram a usar o ENS para resistir melhor aos esforços quase constantes de remoção visando os servidores de controle da botnet.
Ao dizer aos sistemas infectados para procurar os servidores de controle da Kimwolf via ENS, mesmo que os servidores que os botmasters usam para controlar a botnet sejam derrubados, o invasor só precisa atualizar o registro de texto ENS para refletir o novo endereço de Internet do servidor de controle, e os dispositivos infectados saberão imediatamente onde procurar mais instruções.
"Este canal em si depende da natureza descentralizada do blockchain, não regulamentado pelo Ethereum ou outros operadores de blockchain, e não pode ser bloqueado", escreveu a XLab.
Os registros de texto incluídos nas instruções ENS da Kimwolf também podem apresentar mensagens curtas, como aquelas que carregavam as informações pessoais de Brundage. Outros registros de texto ENS associados à Kimwolf ofereceram alguns conselhos sábios: "Se sinalizado, incentivamos a destruição da TV box."
Synthient e XLabs dizem que a Kimwolf tem como alvo um grande número de modelos de Android TV streaming box, todos os quais têm zero proteções de segurança, e muitos dos quais vêm com malware de proxy embutido. De modo geral, se você pode enviar um pacote de dados para um desses dispositivos, também pode assumir o controle administrativo sobre ele.
Se você possui uma TV box que corresponde a um desses nomes e/ou números de modelo, por favor, retire-a de sua rede. Se você encontrar um desses dispositivos na rede de um membro da família ou amigo, envie-lhe um link para esta história (ou para nossa história de 2 de janeiro sobre a Kimwolf) e explique que não vale a pena o potencial incômodo e dano criado por mantê-los conectados.
Leitura adicional:
20 de janeiro de 2026: Botnet Kimwolf à espreita em redes corporativas e governamentais
26 de janeiro de 2026: Quem opera a Botnet Badbox 2.0?
11 de fevereiro de 2026: Botnet Kimwolf inunda a rede de anonimato I2P
28 de fevereiro de 2026: Quem é o Botmaster 'Dort' da Kimwolf?
19 de março de 2026: Federais interrompem botnets IoT por trás de enormes ataques DDoS
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Nossa primeira reportagem de 2026 revelou como uma nova botnet destrutiva chamada Kimwolf infectou mais de dois milhões de dispositivos, comprometendo massivamente um grande número de Android TV streaming boxes não oficiais. Hoje, vamos investigar as pistas digitais deixadas pelos hackers, operadores de rede e serviços que parecem ter se beneficiado da disseminação da Kimwolf.
Em 17 de dezembro de 2025, a empresa chinesa de segurança XLab publicou uma análise detalhada sobre a Kimwolf, que força os dispositivos infectados a participar de ataques de negação de serviço distribuídos (DDoS) e a retransmitir tráfego de Internet abusivo e malicioso para os chamados serviços de "proxy residencial".
O software que transforma um dispositivo em um proxy residencial é frequentemente agrupado silenciosamente com aplicativos e jogos para dispositivos móveis. A Kimwolf tinha como alvo específico o software de proxy residencial que é instalado de fábrica em mais de mil modelos diferentes de dispositivos de streaming Android TV não autorizados. Muito rapidamente, o endereço de Internet do proxy residencial começa a canalizar tráfego ligado a fraudes de anúncios, tentativas de account takeover e raspagem massiva de conteúdo.
O relatório da XLab explicou que seus pesquisadores encontraram "evidências definitivas" de que os mesmos atores e infraestrutura cibercriminosos foram usados para implantar tanto a Kimwolf quanto a botnet Aisuru — uma versão anterior da Kimwolf que também escravizava dispositivos para uso em ataques DDoS e serviços de proxy. A XLab disse que suspeitava desde outubro que Kimwolf e Aisuru tinham o(s) mesmo(s) autor(es) e operadores, com base em parte em mudanças de código compartilhadas ao longo do tempo. Mas disse que essas suspeitas foram confirmadas em 8 de dezembro, quando testemunhou ambas as variantes de botnet sendo distribuídas pelo mesmo endereço de Internet em 93.95.112[.]59.
Registros públicos mostram que a faixa de endereços de Internet sinalizada pela XLab é atribuída à Resi Rack LLC, com sede em Lehi, Utah. O site da Resi Rack descreve a empresa como um "Provedor Premium de Hospedagem de Servidores de Jogos". Enquanto isso, os anúncios da Resi Rack no fórum de monetização da Internet BlackHatWorld se referem a ela como uma "Empresa Premium de Hospedagem de Proxy Residencial e Soluções de Software de Proxy".
O cofundador da Resi Rack, Cassidy Hales, disse à KrebsOnSecurity que sua empresa recebeu uma notificação em 10 de dezembro sobre a Kimwolf usando sua rede "que detalhava o que estava sendo feito por um de nossos clientes que alugava nossos servidores".
"Quando recebemos este e-mail, cuidamos deste problema imediatamente", escreveu Hales em resposta a um e-mail solicitando comentários. "Isto é algo que estamos muito desapontados por estar agora associado ao nosso nome e esta não era a intenção da nossa empresa de forma alguma."
O endereço de Internet da Resi Rack citado pela XLab em 8 de dezembro chamou a atenção da KrebsOnSecurity mais de duas semanas antes disso.
Benjamin Brundage é fundador da Synthient, uma startup que rastreia serviços de proxy. No final de outubro de 2025, Brundage compartilhou que as pessoas que vendiam vários serviços de proxy que se beneficiavam das botnets Aisuru e Kimwolf estavam fazendo isso em um novo servidor Discord chamado resi[.]to.
Quando a KrebsOnSecurity entrou no canal Discord resi[.]to no final de outubro como um observador silencioso, o servidor tinha menos de 150 membros, incluindo "Shox" — o apelido usado pelo cofundador da Resi Rack, Sr. Hales — e seu parceiro de negócios "Linus", que não respondeu aos pedidos de comentários.
Outros membros do canal Discord resi[.]to periodicamente postavam novos endereços IP que eram responsáveis por encaminhar tráfego através de Android TV streaming boxes infectados pela botnet Kimwolf. Como mostra a captura de tela de resi[.]to acima, esse endereço de Internet da Resi Rack sinalizado pela XLab foi usado pela Kimwolf para direcionar o tráfego de proxy desde 24 de novembro, se não antes. Ao todo, a Synthient disse que rastreou pelo menos sete endereços IP estáticos da Resi Rack conectados à infraestrutura de proxy da Kimwolf entre outubro e dezembro de 2025.
Nenhum dos co-proprietários da Resi Rack respondeu a perguntas de acompanhamento. Ambos têm estado ativos na venda de serviços de proxy via Discord por quase dois anos. De acordo com uma revisão das mensagens do Discord indexadas pela empresa de inteligência cibernética Flashpoint, Shox e Linus passaram grande parte de 2024 vendendo "proxies ISP" estáticos, roteando vários blocos de endereços de Internet em grandes provedores de serviços de Internet dos EUA.
Em fevereiro de 2025, a AT&T anunciou que, a partir de 31 de julho de 2025, não mais originaria rotas para blocos de rede que não fossem de propriedade e gerenciados pela AT&T (outros grandes ISPs fizeram movimentos semelhantes desde então). Menos de um mês depois, Shox e Linus disseram aos clientes que em breve deixariam de oferecer proxies ISP estáticos como resultado dessas mudanças de política.
O proprietário declarado do servidor Discord resi[.]to usava o nome de usuário abreviado "D.". Essa inicial parece ser abreviação do hacker handle "Dort", um nome que era invocado frequentemente ao longo desses chats do Discord.
Esse apelido "Dort" surgiu nas conversas recentes da KrebsOnSecurity com "Forky", um brasileiro que reconheceu estar envolvido no marketing da botnet Aisuru em seu início no final de 2024. Mas Forky negou veementemente ter qualquer coisa a ver com uma série de ataques DDoS massivos e recordes na segunda metade de 2025 que foram atribuídos à Aisuru, dizendo que a botnet a essa altura havia sido tomada por rivais.
Forky afirma que Dort é residente do Canadá e um de pelo menos dois indivíduos atualmente no controle da botnet Aisuru/Kimwolf. O outro indivíduo que Forky nomeou como um botmaster da Aisuru/Kimwolf usa o apelido "Snow".
Em 2 de janeiro — apenas horas depois que nossa história sobre a Kimwolf foi publicada — os registros históricos de bate-papo em resi[.]to foram apagados sem aviso e substituídos por uma mensagem cheia de palavrões para o fundador da Synthient. Minutos depois disso, todo o servidor desapareceu.
Mais tarde naquele mesmo dia, vários dos membros mais ativos do agora extinto servidor Discord resi[.]to mudaram-se para um canal do Telegram onde postaram as informações pessoais de Brundage e geralmente reclamaram de serem incapazes de encontrar hospedagem "à prova de balas" confiável para sua botnet.
De forma hilária, um usuário com o nome de "Richard Remington" apareceu brevemente no servidor Telegram do grupo para postar um esboço grosseiro de "Feliz Ano Novo" que afirma que Dort e Snow agora estão no controle de 3,5 milhões de dispositivos infectados pela Aisuru e/ou Kimwolf. A conta do Telegram de Richard Remington foi excluída desde então, mas anteriormente afirmava que seu proprietário opera um site que atende a serviços de DDoS sob demanda ou "stresser" que buscam testar seu poder de fogo.
Relatórios da Synthient e da XLab descobriram que a Kimwolf foi usada para implantar programas que transformavam sistemas infectados em retransmissores de tráfego de Internet para vários serviços de proxy residencial. Entre eles estava um componente que instalava um software development kit (SDK) chamado ByteConnect, que é distribuído por um provedor conhecido como Plainproxies.
ByteConnect diz que se especializa em "monetizar aplicativos de forma ética e gratuita", enquanto Plainproxies anuncia a capacidade de fornecer às empresas de raspagem de conteúdo pools de proxy "ilimitados". No entanto, a Synthient disse que, ao se conectar ao SDK da ByteConnect, eles observaram um influxo massivo de ataques de credential stuffing visando servidores de e-mail e sites online populares.
Uma pesquisa no LinkedIn revela que o CEO da Plainproxies é Friedrich Kraft, cujo currículo diz que ele é cofundador da ByteConnect Ltd. Registros públicos de roteamento da Internet mostram que o Sr. Kraft também opera uma empresa de hospedagem na Alemanha chamada 3XK Tech GmbH. O Sr. Kraft não respondeu a repetidos pedidos de entrevista.
Em julho de 2025, a Cloudflare relatou que a 3XK Tech (a.k.a. Drei-K-Tech) havia se tornado a maior fonte de ataques DDoS na camada de aplicação da Internet. Em novembro de 2025, a empresa de segurança GreyNoise Intelligence descobriu que os endereços de Internet na 3XK Tech eram responsáveis por aproximadamente três quartos da varredura da Internet que estava sendo feita na época para uma vulnerabilidade recém-descoberta e crítica em produtos de segurança feitos pela Palo Alto Networks.
O LinkedIn tem um perfil para outra funcionária da Plainproxies, Julia Levi, que está listada como cofundadora da ByteConnect. A Sra. Levi não respondeu aos pedidos de comentários. Seu currículo diz que ela trabalhou anteriormente para dois grandes provedores de proxy: Netnut Proxy Network e Bright Data.
A Synthient também disse que a Plainproxies ignorou seu contato, observando que o SDK da Byteconnect continua ativo em dispositivos comprometidos pela Kimwolf.
O relatório de 2 de janeiro da Synthient disse que outro provedor de proxy fortemente envolvido na venda de proxies Kimwolf era a Maskify, que atualmente anuncia em vários fóruns de cibercrime que tem mais de seis milhões de endereços de Internet residenciais para aluguel.
A Maskify precifica seu serviço a uma taxa de 30 centavos por gigabyte de dados retransmitidos por meio de seus proxies. De acordo com a Synthient, essa faixa de preço é incrivelmente baixa e é muito mais barata do que qualquer outro provedor de proxy em atividade hoje.
"A equipe de pesquisa da Synthient recebeu capturas de tela de outros provedores de proxy mostrando atores-chave da Kimwolf tentando descarregar largura de banda de proxy em troca de dinheiro adiantado", observou o relatório da Synthient. "Essa abordagem provavelmente ajudou a impulsionar o desenvolvimento inicial, com membros associados gastando ganhos em infraestrutura e tarefas de desenvolvimento terceirizadas. Observe que os revendedores sabem precisamente o que estão vendendo; proxies a esses preços não são obtidos eticamente."
A Maskify não respondeu aos pedidos de comentários.
Horas depois que nossa primeira história sobre a Kimwolf foi publicada na semana passada, o servidor Discord resi[.]to desapareceu, o site da Synthient foi atingido por um ataque DDoS e os botmasters da Kimwolf começaram a fazer doxing de Brundage por meio de sua botnet.
As mensagens de assédio apareceram como registros de texto carregados no Ethereum Name Service (ENS), um sistema distribuído para suportar contratos inteligentes implantados no blockchain Ethereum. Conforme documentado pela XLab, em meados de dezembro os operadores da Kimwolf atualizaram sua infraestrutura e começaram a usar o ENS para resistir melhor aos esforços quase constantes de remoção visando os servidores de controle da botnet.
Ao dizer aos sistemas infectados para procurar os servidores de controle da Kimwolf via ENS, mesmo que os servidores que os botmasters usam para controlar a botnet sejam derrubados, o invasor só precisa atualizar o registro de texto ENS para refletir o novo endereço de Internet do servidor de controle, e os dispositivos infectados saberão imediatamente onde procurar mais instruções.
"Este canal em si depende da natureza descentralizada do blockchain, não regulamentado pelo Ethereum ou outros operadores de blockchain, e não pode ser bloqueado", escreveu a XLab.
Os registros de texto incluídos nas instruções ENS da Kimwolf também podem apresentar mensagens curtas, como aquelas que carregavam as informações pessoais de Brundage. Outros registros de texto ENS associados à Kimwolf ofereceram alguns conselhos sábios: "Se sinalizado, incentivamos a destruição da TV box."
Synthient e XLabs dizem que a Kimwolf tem como alvo um grande número de modelos de Android TV streaming box, todos os quais têm zero proteções de segurança, e muitos dos quais vêm com malware de proxy embutido. De modo geral, se você pode enviar um pacote de dados para um desses dispositivos, também pode assumir o controle administrativo sobre ele.
Se você possui uma TV box que corresponde a um desses nomes e/ou números de modelo, por favor, retire-a de sua rede. Se você encontrar um desses dispositivos na rede de um membro da família ou amigo, envie-lhe um link para esta história (ou para nossa história de 2 de janeiro sobre a Kimwolf) e explique que não vale a pena o potencial incômodo e dano criado por mantê-los conectados.
Leitura adicional:
20 de janeiro de 2026: Botnet Kimwolf à espreita em redes corporativas e governamentais
26 de janeiro de 2026: Quem opera a Botnet Badbox 2.0?
11 de fevereiro de 2026: Botnet Kimwolf inunda a rede de anonimato I2P
28 de fevereiro de 2026: Quem é o Botmaster 'Dort' da Kimwolf?
19 de março de 2026: Federais interrompem botnets IoT por trás de enormes ataques DDoS
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
