FBI e aliados desmantelam botnets de IoT responsáveis por ataques DDoS massivos

Austrade norte-americana, canadense e alemã desmantelou a infraestrutura de quatro botnets de Internet das Coisas (IoT) responsáveis por milhões de ataques DDoS e extorsões. Os grupos, denominados Aisuru, Kimwolf, JackSkid e Mossad, infectaram mais de 3 milhões de dispositivos, como roteadores e câmeras, segundo o Departamento de Justiça dos EUA (DOJ).

As autoridades apreenderam domínios, servidores virtuais e outros recursos usados nos ataques contra endereços de internet pertencentes ao Departamento de Defesa dos EUA. Os responsáveis pelos botnets lançaram centenas de milhares de ataques, muitos exigindo pagamentos de resgate. Algumas vítimas relataram prejuízos de dezenas de milhares de dólares com recuperação e danos.

Impacto dos botnets desativados

• Aisuru: mais de 200 mil comandos de ataque registrados;
• JackSkid: ao menos 90 mil ataques;
• Kimwolf: mais de 25 mil comandos;
• Mossad: cerca de 1 mil ataques.

A operação visava interromper a propagação dos botnets e evitar novos ataques. O caso é investigado pelo Serviço de Investigação Criminal de Defesa (DCIS), com apoio do FBI e de quase duas dezenas de empresas de tecnologia.

"Ao colaborar com o DCIS e parceiros internacionais, identificamos e desativamos a infraestrutura criminosa usada em ataques DDoS em larga escala."
— Rebecca Day, agente especial do FBI em Anchorage

Evolução e disseminação dos botnets

Aisuru surgiu no final de 2024 e, até meados de 2025, já realizava ataques recordes. Em outubro de 2025, o grupo disseminou o Kimwolf, uma variante com mecanismo inovador de propagação, capaz de infectar dispositivos atrás de firewalls internos.

Em janeiro de 2026, a empresa Synthient revelou a vulnerabilidade explorada pelo Kimwolf, reduzindo temporariamente sua disseminação. No entanto, outros botnets passaram a usar métodos semelhantes para competir pelo mesmo grupo de dispositivos vulneráveis. O JackSkid também buscou sistemas em redes internas, como o Kimwolf.

Ações internacionais e suspeitos identificados

O DOJ informou que a desativação dos botnets coincidiu com ações de aplicação da lei no Canadá e na Alemanha contra os supostos operadores. Até o momento, não há detalhes sobre os suspeitos.

Em fevereiro, a KrebsOnSecurity identificou um canadense de 22 anos como um dos principais operadores do Kimwolf. Fontes da investigação apontam também um adolescente de 15 anos na Alemanha como outro suspeito-chave.