O **National Cyber Security Centre (NCSC-UK)** do Reino Unido e parceiros internacionais emitiram um alerta severo: hackers patrocinados pelo estado chinês estão utilizando cada vez mais vastas redes de dispositivos de consumo comprometidos para evitar a detecção e disfarçar suas atividades maliciosas. Este aviso conjunto, coassinado por agências dos Estados Unidos, Austrália, Canadá, Alemanha, Japão, Países Baixos, Nova Zelândia, Espanha e Suécia, destaca uma mudança significativa nas táticas. A maioria dos grupos de hackers chineses abandonou a infraestrutura adquirida individualmente em favor de botnets expansivas de dispositivos comprometidos, visando principalmente roteadores de pequeno escritório e escritório doméstico (SOHO), câmeras conectadas à internet, gravadores de vídeo e equipamentos de armazenamento conectado à rede (NAS). ### Funcionalidade da Botnet Essas botnets massivas permitem que os atacantes roteiem o tráfego através de cadeias de dispositivos comprometidos. O tráfego entra na rede em um ponto, passa por vários nós intermediários e sai perto do alvo pretendido, obscurecendo efetivamente a localização real do atacante e evitando a detecção geográfica. "O NCSC acredita que a maioria dos atores de ameaças com nexo chinês está usando essas redes [..], que múltiplas redes secretas foram criadas e estão sendo constantemente atualizadas, e que uma única rede secreta pode estar sendo usada por múltiplos atores", afirma o [aviso conjunto](https://www.ncsc.gov.uk/news/executive-summary-defending-against-china-nexus-covert-networks-of-compromised-devices). "Essas redes são compostas principalmente por roteadores Small Office Home Office (SOHO) comprometidos, bem como dispositivos de Internet das Coisas (IoT) e inteligentes." <div> <figure> <figcaption><em>Configuração básica de rede secreta (NCSC-UK)</em></figcaption> </figure> </div> ### Exemplos Notáveis de Botnets Uma dessas botnets chinesas massivas, conhecida como **Raptor Train**, infectou mais de 260.000 dispositivos em todo o mundo em 2024. O **FBI** ligou a **Raptor Train** a atividades maliciosas atribuídas ao grupo de hackers **Flax Typhoon**, patrocinado pelo estado chinês, e à empresa chinesa **Integrity Technology Group** (sancionada em janeiro de 2025). O **FBI** desmantelou a **Raptor Train** em setembro de 2024 com a ajuda de pesquisadores do **Black Lotus Labs** após ligá-la a campanhas que visavam entidades nos setores militar, governamental, de ensino superior, telecomunicações, base industrial de defesa (DIB) e de TI, principalmente nos EUA e em Taiwan. Uma rede separada (**KV-Botnet**) foi usada pelo grupo de ameaças **Volt Typhoon**, apoiado pelo estado chinês, e consistia principalmente em roteadores **Cisco** e **Netgear** vulneráveis que estavam desatualizados e não recebiam mais patches de segurança. O **FBI** também desmantelou a **KV-Botnet** limpando malware de roteadores infectados em janeiro de 2024, mas o **Volt Typhoon** começou a revivê-la lentamente em novembro de 2024 após uma tentativa inicial fracassada em fevereiro. ### Implicações e Mitigação "As operações de botnet representam uma ameaça significativa para o Reino Unido, explorando vulnerabilidades em dispositivos cotidianos conectados à internet com o potencial de realizar ataques cibernéticos em larga escala", disse Paul Chichester, Diretor de Operações do **NCSC-UK**. Agências de inteligência ocidentais que assinaram o aviso alertaram que as defesas tradicionais baseadas no bloqueio de listas estáticas de endereços IP maliciosos estão se tornando menos eficazes, pois essas botnets adicionam continuamente novos nós comprometidos. Em vez disso, os defensores de rede em organizações pequenas, médias e grandes são aconselhados a implementar autenticação multifator, mapear dispositivos de borda de rede, alavancar feeds de ameaças dinâmicas que incluem indicadores conhecidos de redes secretas e, onde possível, aplicar listas de permissão de IP, controles de confiança zero e verificação de certificado de máquina.