Artigo patrocinado por
Uma nova onda de programas maliciosos está infectando massivamente os roteadores domésticos em todo o mundo, transformando milhões de dispositivos em armas silenciosas a serviço do crime organizado e de operações de espionagem estatal.
O FBI, a CISA e agências de cibersegurança de uma dúzia de países lançaram alertas urgentes: a ameaça é real, está ativa agora mesmo e pode estar ocorrendo na sua própria rede.
O elo mais fraco pode estar na sua casa
Por: Gabriel E Levy B
Cada vez que alguém liga um notebook, envia uma mensagem de texto ou faz uma videochamada, o tráfego dessa comunicação passa por um pequeno dispositivo que poucas pessoas verificam, atualizam ou sequer lembram que existe: o roteador doméstico.
Durante anos, esse aparelho relegado a um canto da sala foi ignorado tanto pelos usuários quanto pelos próprios fabricantes em matéria de segurança.
Hoje, esse descuido coletivo gerou uma das crises de cibersegurança mais graves da história recente.
Dezenas de famílias de malware transformaram os roteadores domésticos e de pequenos escritórios em seu alvo preferido.
O ecossistema de ameaças documentado até o início de 2026 inclui pelo menos doze variantes ativas que infectam, espionam, alugam e, nos casos mais extremos, destroem permanentemente esses dispositivos.
O impacto é global: em 2025 foram registrados 47,1 milhões de ataques de negação de serviço distribuído, um aumento de 121% em relação ao ano anterior, a maioria protagonizada por roteadores comprometidos.
Em dezembro daquele ano, uma única botnet atingiu 31,4 terabits por segundo de tráfego malicioso, quebrando todos os recordes históricos.
Os protagonistas da ameaça
O malware mais agressivo atualmente se chama AISURU, também conhecido como Airashi ou Kimwolf. Identificado pela primeira vez em agosto de 2024, esse programa — herdeiro direto do histórico Mirai — controla mais de 300.000 dispositivos infectados de marcas como Totolink, Zyxel, D-Link, Linksys e T-Mobile.
Em abril de 2025, seus operadores conseguiram infiltrar o servidor de atualizações de firmware da Totolink, o que lhes permitiu distribuir scripts maliciosos a dezenas de milhares de roteadores simultaneamente — ou seja, transformaram o próprio mecanismo de segurança do fabricante em uma via de infecção em massa.
Outro ator de alto impacto é o TheMoon, um malware conhecido desde 2014 que ressurgiu com força em 2024 para alimentar um lucrativo serviço de proxies criminosos chamado Faceless. Esse serviço faturou mais de 46 milhões de dólares vendendo acesso anônimo à internet por meio de roteadores infectados, antes que o FBI interviesse em maio de 2025 com a Operação Moonlander.
No entanto, a ameaça não desapareceu: surgiu uma versão sucessora chamada KadNap, com cerca de 14.000 dispositivos comprometidos e uma arquitetura de rede ponto a ponto praticamente impossível de desmantelar por métodos tradicionais.
O cenário mais perturbador até hoje ocorreu em outubro de 2023, quando o malware Chalubo executou a chamada operação “Pumpkin Eclipse”: em apenas 72 horas, destruiu permanentemente mais de 600.000 roteadores pertencentes a um único provedor de internet dos Estados Unidos. Os dispositivos ficaram completamente inoperantes e tiveram de ser substituídos fisicamente, afetando de forma desproporcional comunidades rurais com escasso acesso a serviços alternativos. A identidade do atacante permanece desconhecida.
Na frente geopolítica, o grupo chinês Volt Typhoon manteve acesso encoberto à infraestrutura crítica dos Estados Unidos durante pelo menos cinco anos, utilizando roteadores domésticos comprometidos como nós de relay invisíveis.
Como operam e por que são tão difíceis de detectar?
Os roteadores são um alvo ideal precisamente porque carecem de software de proteção.
Não possuem antivírus, raramente têm registros de atividade acessíveis ao usuário comum e, na maioria dos casos domésticos, ninguém os monitora.
A isso se somam anos de vulnerabilidades acumuladas sem correção, senhas padrão que nunca são alteradas e serviços de administração remota desnecessariamente ativos.
O método de infecção varia conforme o malware, mas segue três rotas principais: explorar vulnerabilidades conhecidas que o fabricante não irá mais corrigir porque o dispositivo chegou ao fim de sua vida útil; aproveitar credenciais fracas ou padrão por meio de ataques de força bruta; ou, nos casos mais sofisticados, comprometer a cadeia de suprimentos do firmware, como o AISURU fez com a Totolink.
Uma vez dentro, o malware age com extrema discrição: o Volt Typhoon utiliza ferramentas do próprio sistema operacional do roteador para não deixar rastros; o Chalubo é executado completamente em memória e elimina seus próprios arquivos após a execução; o KadNap enterra sua infraestrutura de comando dentro do tráfego de redes ponto a ponto, indistinguível do uso normal do BitTorrent.
A persistência também se tornou mais sofisticada.
Enquanto as variantes mais antigas desaparecem com uma simples reinicialização do dispositivo, as ameaças mais recentes sobrevivem inclusive a uma redefinição de fábrica. O KadNap instala uma tarefa agendada que baixa e executa o malware novamente no minuto 55 de cada hora. O AyySSHush, que ataca roteadores ASUS, injeta chaves SSH utilizando as próprias ferramentas de configuração do fabricante, criando uma porta dos fundos permanente que não desaparece nem com o reset mais profundo.
Como se proteger: passos concretos para usuários e empresas
A recomendação mais urgente das agências de cibersegurança é também a mais direta: substituir qualquer roteador que não receba mais atualizações de segurança do seu fabricante. Usar um dispositivo sem suporte ativo equivale a deixar a porta principal sem fechadura. O FBI identificou em 2025 treze modelos Linksys que ainda são ativamente explorados e que não recebem mais atualizações; a lista se expande constantemente.
Para dispositivos que ainda contam com suporte, as medidas mais eficazes incluem: desativar a administração remota, a configuração individual de maior impacto segundo todos os relatórios oficiais; desabilitar UPnP e WPS, protocolos que as novas variantes do Mirai exploram ativamente; atualizar o firmware periodicamente a partir do site oficial do fabricante; e alterar as credenciais de administrador por uma senha forte e exclusiva.
A CISA também recomenda separar os dispositivos de casa inteligente (câmeras, televisores, termostatos) em uma rede de convidados independente, de modo que, se um for comprometido, não afete os demais.
O que fazer se o roteador já estiver infectado
Detectar uma infecção nem sempre é simples. Os sinais mais comuns incluem aquecimento incomum do dispositivo, quedas intermitentes de conexão, velocidades anormalmente lentas, alterações na configuração DNS que o usuário não realizou ou credenciais de administrador que de repente param de funcionar.
Se houver suspeita de infecção, o protocolo recomendado começa com um ciclo de desligamento e religamento do roteador: desconectá-lo da tomada por 30 segundos elimina o malware residente em memória na maioria das variantes tradicionais.
No entanto, isso não fecha a vulnerabilidade.
O passo seguinte é a redefinição de fábrica completa, geralmente mantendo pressionado o botão de reset por dez segundos, seguida imediatamente pela instalação do firmware mais recente disponível, antes de reconectar o dispositivo à internet.
A reconfiguração deve ser feita do zero: novas credenciais de administrador, rede Wi-Fi com senha robusta, serviços não essenciais desativados.
Para roteadores ASUS afetados pelo AyySSHush ou WrtHug, nos quais o reset de fábrica pode não ser suficiente, a ASUS publicou um procedimento específico que inclui a atualização de firmware e a desativação do AiCloud. Se o roteador estiver literalmente inutilizado, como ocorreu com as vítimas do Chalubo, a única solução é a substituição física.
O problema de fundo é estrutural.
Centenas de milhões de roteadores em todo o mundo chegaram ao fim de sua vida útil, seus donos não sabem disso e os fabricantes não têm nenhuma obrigação legal de avisá-los.
Enquanto isso, o ecossistema criminoso que os explora gera dezenas de milhões de dólares por ano, e atores estatais os utilizam para se posicionarem estrategicamente em infraestruturas críticas visando potenciais conflitos futuros.
As agências de segurança podem desmantelar botnets, como o FBI fez com a KV-Botnet em 2024, mas a reinfecção é questão de meses. A única defesa duradoura, alertam os especialistas, começa pelo usuário que olha para aquele pequeno dispositivo em um canto e decide, pela primeira vez, levá-lo a sério.
Em Conclusão
Uma dúzia de famílias de malware — AISURU, TheMoon, Chalubo, Ballista, Volt Typhoon — infecta milhões de roteadores domésticos em todo o mundo, transformando-os em armas para ataques massivos, proxies criminosos e espionagem estatal.
Difíceis de detectar e cada vez mais resistentes à reinicialização, esses programas exploram dispositivos sem atualizações e com senhas fracas.
A solução começa por substituir roteadores obsoletos, desativar a administração remota e atualizar o firmware regularmente.
FONTES E REFERÊNCIAS
- FBI / IC3 — PSA250507: Cyber Criminal Proxy Services Exploiting End of Life Routers (maio de 2025). fbi.gov
- CISA — PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure, Advisory AA24-038A (2024). cisa.gov
- CISA — Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers (2024). cisa.gov
- Microsoft Security Blog — Volt Typhoon targets US critical infrastructure with living-off-the-land techniques (maio de 2023). microsoft.com
- Lumen / Black Lotus Labs — The Pumpkin Eclipse: Identifying Chalubo Malware (2024). blog.lumen.com
- Lumen / Black Lotus Labs — The Dark Side of TheMoon (2024). blog.lumen.com
- Qianxin XLab — The Most Powerful Ever? Inside the 11.5Tbps-Scale Mega Botnet AISURU (2025). blog.xlab.qianxin.com
- The Hacker News — AISURU/Kimwolf Botnet Launches Record-Setting 31.4 Tbps DDoS Attack (fevereiro de 2026). thehackernews.com
- The Hacker News — KadNap Malware Infects 14,000+ Edge Devices to Power Stealth Proxy Botnet (março de 2026). thehackernews.com
- The Hacker News — Ballista Botnet Exploits Unpatched TP-Link Vulnerability (março de 2025). thehackernews.com
- The Hacker News — WrtHug Exploits Six ASUS WRT Flaws to Hijack EoL Routers Worldwide (novembro de 2025). thehackernews.com
- Bleeping Computer — Malware botnet bricked 600,000 routers in mysterious 2023 attack (2024). bleepingcomputer.com
- Bleeping Computer — TheMoon malware infects 6,000 ASUS routers in 72 hours for proxy service (2024). bleepingcomputer.com
- Krebs on Security — DDoS Botnet Aisuru Blankets US ISPs in Record DDoS (outubro de 2025). krebsonsecurity.com
- SecurityScorecard — Operation WrtHug: The Global Espionage Campaign Hiding in Your Home Router (2025). securityscorecard.com
- Cato Networks CTRL — Ballista: New IoT Botnet Targeting Thousands of TP-Link Archer Routers (2025). catonetworks.com
- ASUS — Official Statement on Recent Reports Regarding Router Security (junho de 2025). asus.com
