A Holanda desmantelou uma botnet massiva composta por mais de 17 milhões de dispositivos infectados, incluindo computadores, smartphones, tablets e equipamentos IoT. A operação, conduzida pela polícia e pelo Centro Nacional de Segurança Cibernética (NCSC) dos Países Baixos em 28 e 29 de maio de 2026, resultou na apreensão de mais de 200 servidores de comando e controle.
Escala da operação
A infraestrutura da botnet era sustentada por mais de 200 servidores hospedados em datacenters holandeses. As autoridades apreenderam um subconjunto desses servidores em um provedor de hospedagem local, que posteriormente desconectou toda a rede após confirmar seu uso para atividades criminosas.
Embora o nome oficial da botnet não tenha sido divulgado pelas autoridades, o jornal holandês NL Times identificou o serviço como Asocks, uma plataforma que oferecia proxies residenciais, corporativos e móveis por assinaturas mensais entre US$ 5 e US$ 15. A Asocks comercializava acesso a dispositivos comprometidos como se fossem proxies legítimos, mascarando o tráfego malicioso dos clientes que compravam acesso.
Como os dispositivos eram infectados
Os dispositivos eram recrutados para a botnet por meio de malware que permitia controle remoto. Uma vez infectados, computadores, celulares Android e dispositivos IoT passavam a funcionar como nós de uma rede de proxy residencial, roteando tráfego de terceiros sem o conhecimento dos donos dos equipamentos.
Em abril de 2024, a equipe de inteligência de ameaças Satori da HUMAN Security identificou uma campanha chamada PROXYLIB que envolvia dispositivos Android infectados com proxyware distribuído pela LumiApps e pela própria Asocks. Os aplicativos maliciosos eram disponibilizados em lojas de apps e sites de download, disfarçados de ferramentas utilitárias ou otimizadores de bateria.
| Característica | Detalhe |
|---|---|
| Dispositivos comprometidos | 17 milhões+ |
| Servidores apreendidos | 200+ |
| Tipos de dispositivo | PCs, smartphones, tablets, IoT |
| Serviço associado | Asocks (proxy residencial) |
| Período da operação policial | 28-29 de maio de 2026 |
| Campanha de infecção known | PROXYLIB (identificada em 2024) |
Riscos de proxies residenciais
Proxies residenciais possuem usos legítimos, como acessar recursos geograficamente restritos. Porém, o ecossistema é frequentemente explorado por atores maliciosos que compram acesso a dispositivos comprometidos para rotear tráfego de ataques, ocultando a origem real das ações criminosas. Cada nó infectado funciona como um ponto de saída anônimo para fraudes, ataques de credenciais e campanhas de phishing.
Após a operação policial, o site da Asocks permaneceu acessível, e os dispositivos infectados continuam contaminados com o malware. Apenas a infraestrutura de comando e controle foi removida, o que significa que o malware pode permanecer inativo nos equipamentos até que os usuários tomem medidas de limpeza ou até que uma nova infraestrutura seja montada.
Como verificar e limpar
Caso suspeite que um dispositivo possa estar infectado, verifique a lista de aplicativos instalados e remova qualquer app desconhecido, especialmente ferramentas de “proxy” ou “VPN” não autorizadas. Mantenha o sistema operacional atualizado, altere senhas padrão de roteadores e dispositivos IoT, e ative autenticação em dois fatores quando disponível.
No caso de dispositivos Android, revise as permissões de aplicativos e desinstale apps que solicitem acesso de rede excessivo ou que não venham de fontes confiáveis. Para roteadores e equipamentos IoT, verifique se o firmware está atualizado e se a rede Wi-Fi utiliza WPA2 ou WPA3. Essas medidas impedem que o dispositivo seja recrutado novamente para novas botnets.