Especialistas da equipe de cibersegurança Cato CTRL detectaram uma nova botnet que infecta roteadores da linha TP-Link Archer AX-21 desatualizados. Chamada de Ballista, a ameaça já tem ao menos 6 mil dispositivos controlados e a grande maioria deles pertence a usuários brasileiros.
De acordo com a denúncia, os roteadores desatualizados possuem uma vulnerabilidade que permite a realização de comandos e a execução remota de código por parte de outra pessoa. Dessa forma, esses dispositivos podem ser usados como parte de outros cibercrimes, como a invasão a outros aparelhos ou ataques de negação distribuída de serviço (DDoS) para derrubar sites ou sistemas inteiros.
A botnet atual formada pelas vítimas do Ballista é composta massivamente por roteadores no Brasil. Segundo a plataforma Censys, mais de 4,3 mil dos quase 6,1 mil dispositivos infectados estão registrados no país. Polônia (368 aparelhos), Reino Unido (246 aparelhos) e Bulgária (231 aparelhos) são as outras regiões com mais vítimas conhecidas.
A falha de segurança em questão é a CVE-2023-1389, que foi descoberta ainda em abril de 2023 e já serviu como porta de entrada para o espalhamento de outros malwares, incluindo a perigosa botnet Mirai. Já a Ballista é uma campanha fraudulenta mais recente, datada de janeiro de 2025 e com atividades registradas até o mês passado.
Os alvos da botnet até o momento foram aparelhos de países como EUA, Austrália, China e México, incluindo organizações de setores de manufatura, saúde e tecnologia. Segundo os pesquisadores que encontraram a ameaça, linhas de código em italiano sugerem uma possível origem para os criadores da botnet, que ainda não teve a autoria reivindicada por grupos ou cibercriminosos.
Como atualizar o roteador TP-Link
A TP-Link lançou uma atualização para corrigir a vulnerabilidade CVE-2023-1389 há dois anos, quando os primeiros casos de exploração da falha foram revelados. Porém, muitos modelos seguem desatualizados, tornando os roteadores alvos fáceis para a Ballista.
De acordo com a fabricante, se o roteador Archer AX21 estiver conectado a uma conta TP-Link ID ou suportar o serviço TP-Link Cloud, o usuário receberá notificações automáticas sobre atualizações no dispositivo pela interface de administração do aparelho. Neste caso, basta clicar no ícone “Atualizar” dentro da interface web do roteador, que é a página de configurações do dispositivo. O guia sobre como navegar por essa plataforma pode ser consultado no site da fabricante.
Caso contrário, é necessário atualizar o firmware manualmente, acessando a central de downloads da companhia e fazer o processo de instalação seguindo o passo a passo do programa.
O que é uma botnet
Uma botnet, também chamada de rede de robôs ou rede zumbi, é uma estrutura formada por uma série de equipamentos conectados à internet, de dezenas até milhares de dispositivos, que estão infectados e podem ser controlados remotamente por um invasor. Essa rede pode ser direcionada a ataques específicos contra alvos e realizar cibercrimes de forma massiva. Eles incluem modalidades como o DDoS, envio de spam e tentativas de explorar brechas de segurança — tudo isso sem precisar de qualquer autorização por parte do usuário que é dono do aparelho.
Essas botnets são normalmente construídas com base em aparelhos de poucas camadas de segurança, como eletrônicos mais simples de Internet das Coisas, sensores e aparelhos desatualizados, como no caso do ataque atual nos roteadores da TP-Link.
Quer se manter informado sobre privacidade digital e proteção de eletrônicos? Fique ligado na seção de Segurança do TecMundo e não perca os conteúdos sobre novas ameaças, formas de proteção e avanços nesse mercado.
