Novo botnet sequestra dispositivos domésticos para vender ataques DDoS

Pesquisadores da empresa Hunt.io descobriram, no início de abril de 2026, um botnet chamado xlabs_v1 que sequestra dispositivos IoT conectados à internet e os usa para lançar ataques de negação de serviço em larga escala.

A operação é oferecida como serviço pago, com foco em derrubar servidores de jogos, incluindo Minecraft. A infraestrutura do grupo está concentrada em servidores de hospedagem bulletproof na Holanda.

Servidor mal configurado entregou toda a operação

A descoberta começou durante um monitoramento de rotina. Os pesquisadores identificaram um servidor no endereço IP 176.65.139.44, hospedado na Holanda, com um diretório de arquivos completamente aberto na porta TCP/80, sem nenhuma autenticação.

Perfil do IP 176.65.139.44 na plataforma Hunt.io, onde a operação foi descoberta. A porta 80 aparece marcada como Mirai, com dois alertas de diretórios maliciosos abertos registrados em 1º e 2 de abril de 2026. Imagem: Hunt.io.

Em vez de encontrar uma página de login, os analistas viram uma lista com seis arquivos disponíveis para download. O conjunto incluía o binário principal do bot, um build de desenvolvimento com símbolos intactos, scripts de infecção, credenciais de proxy e um arquivo de alvos.

Dois arquivos foram automaticamente classificados como maliciosos pela própria ferramenta do operador, que estava rodando no servidor exposto. Basicamente, o atacante usava ferramentas de análise de nível profissional em uma máquina que não tinha proteção alguma contra analistas externos.

ADB como porta de entrada

O vetor de infecção é o Android Debug Bridge, conhecido como ADB. Trata-se de uma interface de diagnóstico presente em dispositivos Android que, quando exposta à internet pela porta TCP/5555, permite que qualquer pessoa execute comandos remotamente na máquina.

xlabs_v1 mirai (1).png — Conteúdo do diretório exposto no servidor de staging, capturado pela ferramenta AttackCapture da Hunt.io. Os arquivos arm7 e payloads.txt foram automaticamente marcados como Mirai e Exploit, respectivamente, pela própria infraestrutura do operador. Imagem: Hunt.io.

Uma consulta realizada pelos pesquisadores revelou mais de 4 milhões de hosts com essa porta aberta na internet nos últimos 180 dias. Qualquer um deles com ADB ativo é um alvo potencial.

Os dispositivos visados incluem TV boxes com Android, decodificadores de sinal, smart TVs, roteadores residenciais e qualquer hardware IoT que venha com ADB habilitado por padrão de fábrica.

21 métodos de ataque e precificação por banda

Após a infecção, o bot se esconde do sistema operacional ao se mascarar como o processo legítimo /bin/bash. Em seguida, abre 8.192 conexões simultâneas com o servidor do Speedtest mais próximo para medir a velocidade de upload do dispositivo infectado.

xlabs_v1 mirai (2).png — Strings de log do build de desenvolvimento do xlabs_v1, todas prefixadas com a tag interna [aterna]. O nome era a identidade do projeto antes do relançamento com a marca xlabs para comercialização. Imagem: Hunt.io.

Esse resultado é enviado ao painel do operador, que usa a medição para definir o preço cobrado por aquela máquina nos ataques. Basicamente, um dispositivo com conexão de 500 Mbps é vendido a uma tarifa maior do que um com 20 Mbps.

O arsenal de ataque conta com 21 variantes de flood distribuídas por protocolos TCP, UDP e raw. Entre elas estão métodos específicos para jogos, como o flood via protocolo RakNet, usado em servidores Minecraft, e pacotes UDP formatados para imitar tráfego do OpenVPN, dificultando a detecção por filtros de rede.

Infraestrutura centralizada em bloco bulletproof

Os quatro IPs confirmados da operação estão dentro do mesmo bloco de rede /24 da empresa Offshore LC, na Holanda, sob o número de sistema autônomo AS214472. Isso inclui o servidor C2, dois servidores de distribuição e o servidor de staging onde o toolkit foi encontrado.

xlabs_v1 mirai (3).png — Servidor de comando e controle do botnet, hospedado pela Offshore LC em Kerkrade, na Holanda, sob o ASN 214472. A única porta visível no momento da varredura era a 22, de SSH. Imagem: Hunt.io.

O domínio de comando e controle, xlabslover.lol, usa servidores de nome da Ultahost, um provedor frequentemente associado a hospedagem bulletproof. Para aumentar a resiliência, o bot resolve esse domínio via OpenNIC, uma rede alternativa de DNS que funciona mesmo quando resolvers comuns bloqueiam o endereço.

Se a conexão com o C2 falhar, o bot abre uma porta de fallback na TCP/26721 e aguarda reconexão direta do operador.

Operador identificado como Tadashi

O nome de handle do operador, Tadashi, está embutido de forma criptografada em todos os builds do bot. A proteção usa o algoritmo ChaCha20, mas com uma chave fraca e reutilizada em todas as 16 chamadas de decriptação. Os pesquisadores conseguiram recuperar toda a tabela de strings a partir de um único texto conhecido.

xlabs_v1 mirai (4).png — Sinais de honeypot registrados para o IP do C2. O servidor foi flagrado rastreando páginas web e varrendo a internet em busca de arquivos .env expostos, que costumam conter credenciais de acesso. Imagem: Hunt.io.

Além do handle, a análise revelou o token de autenticação do bot, o domínio C2 e uma mensagem interna hostil a um fork rival chamado xlab 2. A mensagem sugere uma disputa ativa no underground por autoria do código.

A marca xlabs_v1 aparece em cada registro de conexão enviado ao painel. O sufixo v1 indica que o operador planeja versões futuras. A Hunt.io recomenda monitorar tags como xlabs_v2 em capturas futuras.

Nível intermediário de sofisticação

A avaliação final dos pesquisadores classifica a operação como de nível intermediário. O xlabs_v1 é mais sofisticado do que variantes simples do Mirai, com criptografia de strings, múltiplas arquiteturas de binário e perfis de banda.

xlabs_v1 mirai (5).png — Servidor secundário em Frankfurt, Alemanha, vinculado à operação pelo certificado TLS autoassinado com o campo CN “Godisgood”, o mesmo encontrado no IP principal na Holanda. A sobreposição sugere o mesmo operador gerenciando múltiplas máquinas. Imagem: Hunt.io.

Mas fica abaixo do topo da cadeia, isso porque não usa TLS no canal C2, enviou um build de desenvolvimento para um servidor público e hardcodou uma rivalidade com concorrente direto dentro do próprio malware. O foco da operação são dispositivos IoT de consumo, roteadores domésticos e operadores de servidores de games de pequeno porte.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.