O malware KadNap foi associado à infecção de mais de 14 mil dispositivos de borda para operar uma botnet proxy furtiva, com foco principal em roteadores Asus. O caso mostra como equipamentos esquecidos na borda podem virar infraestrutura de abuso sem muito alarde. Para empresas, a lição é simples: ativo sem gestão é convite para problema.
A The Hacker News publicou em 10 de março de 2026 uma análise sobre o KadNap, um malware descoberto infectando principalmente roteadores Asus para recrutá-los em uma botnet proxy furtiva. Segundo a reportagem, a atividade foi detectada desde agosto de 2025 e já ultrapassou a marca de 14 mil dispositivos comprometidos.
O dado chama atenção não só pelo volume, mas pelo tipo de ativo envolvido. Estamos falando de dispositivos de borda, como roteadores e outros equipamentos de rede, que em muitas operações ficam num limbo perigoso: são críticos, vivem expostos e quase sempre recebem menos carinho do que deveriam.
De acordo com a matéria, mais de 60% das vítimas estão nos Estados Unidos, mas também houve detecções em outros países, incluindo o Brasil.
O foco principal observado foi em roteadores Asus, mas os operadores também foram vistos atacando um conjunto mais amplo de dispositivos de borda. Isso importa porque esses ativos costumam ficar na linha de frente da conectividade e, ao mesmo tempo, fora do centro das atenções do time.
Na prática, quando um equipamento desses é comprometido, ele pode deixar de ser apenas um ponto de acesso e passar a integrar uma estrutura usada para tráfego malicioso. A notícia relaciona o KadNap ao serviço Doppelgänger, descrito como uma oferta de proxies residenciais em mais de 50 países. Ou seja: o ativo da vítima pode ser aproveitado como parte de uma engrenagem montada para esconder origem, distribuir tráfego ou sustentar outras operações.
O texto informa que o KadNap usa uma versão customizada do protocolo Kademlia DHT, um modelo peer-to-peer usado para esconder a infraestrutura de comando e controle dentro do ruído do tráfego legítimo. Em português claro: em vez de depender de um caminho óbvio, a operação se mistura melhor na multidão e fica mais difícil de detectar ou derrubar.
A matéria também detalha que um script shell chamado aic.sh é baixado do servidor de comando e controle para iniciar o processo de recrutamento do dispositivo. Esse script cria persistência via cron, renomeia o arquivo para .asusrouter e o executa. Depois disso, baixa um binário ELF malicioso, renomeado para kad, que efetivamente implanta o malware.
Outro ponto citado é que o KadNap consulta um servidor NTP para obter o horário atual e armazenar esse dado junto com o uptime do host. A partir daí, cria um hash usado para localizar outros peers na rede descentralizada e receber comandos ou baixar arquivos adicionais.
A notícia ainda menciona arquivos com capacidade de fechar a porta 22, usada por SSH, e de extrair combinações de IP e porta para conexão com servidores de comando e controle. Isso reforça um padrão que todo time de segurança conhece bem: o atacante não quer só entrar; ele quer permanecer e operar com menos atrito.
Com o Neologik Safe, a empresa ganha apoio para prevenir, detectar e responder melhor a riscos ligados à exposição de ativos, credenciais frágeis, falhas de governança e pontos cegos na borda da rede.
Esse tipo de caso mostra uma dor operacional clássica: o ambiente parece funcionando, mas há ativos trabalhando contra a própria organização sem chamar atenção. O Neologik Safe ajuda a organizar controle, visibilidade e resposta de forma mais prática e menos heroica. Porque segurança séria não vive de susto; vive de disciplina.
Produto: https://neologik.com.br/solucoes#safe
The Hacker News (10/03/2026) — https://thehackernews.com/2026/03/kadnap-malware-infects-14000-edge.html
