Autoridades holandesas desmantelam botnet ligada a mais de 17 milhões de dispositivos

Grande botnet ligada a proxies fica offline nos Países Baixos

Autoridades nos Países Baixos afirmam ter desmantelado uma botnet composta por mais de 17 milhões de dispositivos e gerida por 200 servidores, tornando-a uma das derrubadas de infraestrutura mais marcantes relatadas neste ano. A operação envolveu a polícia holandesa, o Centro Nacional de Cibersegurança e um provedor de hospedagem que tirou a rede do ar depois que investigadores concluíram que ela estava sendo usada para fins criminosos.

A escala por si só torna a ação notável. Uma botnet desse tamanho pode fornecer uma base poderosa para o cibercrime, seja por meio de roteamento anônimo de tráfego, operações de negação de serviço, apoio a phishing ou abuso em larga escala de serviços online. Neste caso, a reportagem ligou a rede à atividade de proxies residenciais, um setor que pode borrar a linha entre tráfego de consumo aparentemente comum e operações maliciosas.

Por que o abuso de proxies residenciais é tão difícil de combater

Serviços de proxy residencial roteiam o tráfego de internet por meio de dispositivos de terceiros, fazendo esse tráfego parecer vir de conexões domésticas ou móveis comuns. Isso dificulta a detecção em comparação com a infraestrutura de data center, porque o tráfego pode se parecer com comportamento normal de usuário, e não com atividade claramente automatizada.

Autoridades e pesquisadores de segurança alertam há anos que proxies residenciais podem ser usados tanto para fins legítimos quanto abusivos. Os casos mais preocupantes envolvem dispositivos incluídos sem consentimento significativo do usuário ou por meio de comprometimento, criando um conjunto de pontos de acesso que pode mascarar crimes cibernéticos por trás de endereços IP com aparência confiável.

Parece que essa é parte da preocupação no caso holandês. O Centro Nacional de Cibersegurança alertou separadamente que proxies residenciais podem tornar a mitigação muito mais difícil, porque ataques podem ser lançados por meio de padrões de tráfego que parecem locais e são difíceis de distinguir do uso normal.

Como a operação ocorreu

Segundo o texto-fonte fornecido, a ação começou depois que um pesquisador de segurança relatou a rede às autoridades. A polícia então apreendeu servidores da botnet em um provedor de hospedagem para investigação, e o provedor derrubou a botnet. Essa sequência destaca como a aplicação moderna da lei cibernética depende cada vez mais da cooperação entre pesquisadores independentes, órgãos estatais e empresas de infraestrutura.

A infraestrutura de hospedagem estava localizada nos Países Baixos, o que deu às autoridades locais uma alavanca operacional concreta. Em muitos casos globais de botnet, a polícia pode entender a ameaça, mas não ter jurisdição sobre a infraestrutura de comando. Aqui, pelo menos parte da camada crítica de controle da rede estava acessível o suficiente para ser interrompida diretamente.

Ligações com um ecossistema mais amplo de proxies

Reportagens citadas no material de origem ligaram a botnet à ASOCKS, uma empresa baseada na Rússia conhecida por serviços de proxy residencial, embora a Ars Technica tenha observado que não pôde confirmar independentemente essa ligação. Essa distinção importa. O vínculo operacional pode ser plausível e coerente com pesquisas anteriores de segurança, mas continua apresentado na reportagem como uma conexão relatada, e não como um fato verificado de forma independente.

O que está mais claro é o padrão mais amplo. Em 2024, a empresa de segurança Human ligou uma botnet chamada Proxylib à mesma rede de proxies e disse que aplicativos móveis na Google Play haviam inscrito até 190 mil dispositivos sem aprovação do usuário. Esse histórico sugere um problema recorrente em que a infraestrutura de proxy pode extrair capacidade de vastos conjuntos de dispositivos cujos proprietários talvez não entendam plenamente para que seus sistemas estão sendo usados.

Por que isso importa agora

Além do número principal, a derrubada lembra que a infraestrutura do cibercrime está profundamente embutida na conectividade cotidiana. Uma botnet que abrange milhões de dispositivos já não é apenas uma questão de servidores infectados em data centers obscuros. Ela pode envolver telefones de consumidores, conexões domésticas e ecossistemas de software que, na superfície, parecem normais.

Para os defensores, isso significa que o monitoramento precisa levar em conta tráfego com aparência confiável. Para lojas de aplicativos e plataformas de software, reforça a necessidade de examinar aplicativos que possam alistar silenciosamente dispositivos em atividades de proxy ou botnet. E, para formuladores de política, mostra por que o abuso de proxies residenciais está se tornando uma questão estratégica maior de cibersegurança, em vez de um problema técnico de nicho.

• Autoridades holandesas afirmam ter desmantelado uma botnet com mais de 17 milhões de dispositivos e 200 servidores.
• A rede foi supostamente ligada à atividade de proxies residenciais, que pode mascarar o cibercrime por trás de tráfego com aparência normal.
• A operação dependia da cooperação entre pesquisadores, polícia, o NCSC e um provedor de hospedagem.

Este artigo é baseado em reportagem da Ars Technica. Leia o artigo original.