Por anos, especialistas em segurança têm rastreado uma série de ataques DDoS significativos originados no Brasil, visando exclusivamente ISPs brasileiros. Descobertas recentes lançaram luz sobre a potencial fonte: uma infraestrutura comprometida dentro da **Huge Networks**. ### Arquivo Exposto Revela Chaves SSH e Atividade de Botnet Um arquivo exposto continha programas maliciosos escritos em Python e as chaves privadas de autenticação SSH pertencentes a **Erick Nascimento**, CEO da **Huge Networks**. Essa descoberta sugere que um ator de ameaça obteve acesso root à infraestrutura da **Huge Networks** e construiu uma poderosa botnet DDoS ao escanear a Internet em busca de roteadores e servidores DNS vulneráveis. ### Ataques de Amplificação DNS A botnet utiliza ataques de amplificação DNS para maximizar o impacto. Ao explorar servidores DNS mal configurados que aceitam consultas de qualquer origem, os atacantes podem enviar requisições falsificadas que parecem originar-se da rede do alvo. Isso resulta nos servidores DNS respondendo ao endereço alvo com respostas amplificadas, sobrecarregando a rede da vítima.  ### Alvo em Roteadores TP-Link O arquivo exposto inclui um histórico de linha de comando detalhando como o atacante construiu e manteve a botnet escaneando por roteadores **TP-Link Archer AX21** vulneráveis. A botnet visa especificamente dispositivos vulneráveis à **CVE-2023-1389**, uma vulnerabilidade de injeção de comando não autenticada corrigida em abril de 2023.  Domínios maliciosos associados aos scripts de ataque, como hikylover[.]st e c.loyaltyservices[.]lol, foram anteriormente sinalizados como servidores de controle para botnets IoT impulsionadas por variantes do **malware Mirai**. ### Resposta da Huge Networks **Erick Nascimento** reconheceu a intrusão, afirmando que a atividade não autorizada está provavelmente relacionada a uma violação de segurança detectada em janeiro de 2026. Ele alega que dois servidores de desenvolvimento da empresa e suas chaves SSH pessoais foram comprometidos. No entanto, ele sustenta que não há evidências de que as chaves tenham sido usadas após janeiro e que a empresa contratou uma empresa de forense terceirizada para investigar. Ele também negou qualquer envolvimento em ataques DDoS contra operadoras brasileiras para impulsionar os negócios de sua empresa. Nascimento sugere que um concorrente pode estar por trás dos ataques, tentando manchar a reputação da **Huge Networks**. Ele afirma ter evidências armazenadas na blockchain que apoiam essa teoria. ### O Legado do Mirai O software da botnet é baseado no **Mirai**, uma cepa de malware conhecida por lançar ataques DDoS recordes. O **Mirai** tem um histórico de ser usado por empresas de mitigação de DDoS para atacar servidores de jogos e adquirir novos clientes.