O número de servidores usados para controlar botnets cresceu 24% no segundo semestre de 2025. A pesquisa da Pulsedive e da Spamhaus, mostra que os Estados Unidos ultrapassaram a China como epicentro desses centros de controle. Até o final do ano passado, eram mais de 21 mil servidores ativos no país.Uma botnet é uma rede de computadores infectados por malware (bots) controlada por hackers e usada para realizar ataques DDoS, ou seja, derrubando sites. Ou até mesmo para roubar dados privados.Malware Mirai teve código vazado e mudou cenário“A atividade de botnets disparou ao longo do último ano, com a Spamhaus registrando aumentos de 26% e 24% nos dois períodos de seis meses de janeiro a junho de 2025 e julho a dezembro de 2025, respectivamente. Esse aumento está associado ao surgimento de bots e dispositivos conectados nos Estados Unidos", afirma a Pulsedive.Spamhaus mapeou principais locais de hospedagem de servidores de comando e controle de botnets. Imagem: Spamhaus.Grande parte desse crescimento vem do Mirai, um malware identificado pela primeira vez em 2016. Ele age de forma simples: varre a internet em busca de dispositivos IoT — roteadores domésticos, câmeras de segurança — que rodam em processadores ARC, componente comum nesses aparelhos e que frequentemente não tem proteção adequada.O problema é que o código do Mirai vazou há anos. Desde então, qualquer pessoa com conhecimento técnico pode adaptar o vírus. O resultado disso é que hoje existem 116 ramificações diferentes, extraídas de mais de 21 mil amostras coletadas.Botnets viram serviço parecido com streamingUma das versões mais conhecidas é o Satori, que infectou mais de 260 mil roteadores ao explorar uma falha nos dispositivos D-Link DSL-2750B. Outra variante, o KimWolf, mira sistemas Android, incluindo celulares e Smart TVs.Pesquisa da Spamhaus também mostra que os trojans de acesso remoto foram os malwares que mais cresceram no segundo semestre de 2025. Imagem: Spamhaus.Essas botnets viraram um negócio. Os operadores vendem acesso aos dispositivos infectados em aplicativos como Discord e Telegram. Outros nomes associados ao Mirai incluem Aisuru, Tiny Mantis, Murdoc_Botnet, Lzrd e Resgod, todos disponíveis como serviço para quem estiver disposto a pagar.Grupos cibercriminosos lucraram com essa expansãoO poder dessas redes ficou evidente nos números. O grupo Aisuru-KimWolf foi associado ao maior ataque DDoS já registrado, com 31,4 terabits por segundo e uma enxurrada de 14,1 bilhões de pacotes por segundo.Conter esse tipo de ofensiva é difícil. Os ataques randomizam as características dos pacotes para enganar ferramentas de segurança. Os criminosos também escondem sua origem usando proxies residenciais, endereços de internet de usuários comuns, para que o tráfego malicioso pareça legítimo.Infográfico da Akamai mostra como funciona um ataque de força bruta via botnet. Imagem: Akamai.Quando as autoridades conseguem desativar parte da infraestrutura, a adaptação vem rápido. Após o Google e outras empresas derrubarem servidores do KimWolf, o grupo migrou para o I2P, o The Invisible Project, uma rede oculta projetada justamente para escapar da detecção.Como se protegerNa semana passada, o Departamento de Justiça dos EUA anunciou a desarticulação de redes como Aisuru, KimWolf, JackSkid e Mossad. Uma vitória, mas parcial. A ameaça persiste para quem ainda usa as credenciais padrão de fábrica nos dispositivos conectados.Trocar essas senhas e manter o software atualizado continua sendo a defesa mais eficaz contra esse tipo de ataque.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.