O governo dos EUA conseguiu interromper uma botnet criada por conhecidos Ator de ameaça chinês Volt Typhoon que abriu caminho para ataques cibernéticos a organizações de infra-estruturas nacionais críticas (CNI) em toda a América e noutros países.
Um alerta de segurança publicado pelo Escritório de Relações Públicas dos EUA confirmou que o Volt Typhoon, um grupo de hackers patrocinado pela República Popular da China (RPC), sequestrou centenas de roteadores para pequenos escritórios/escritórios domésticos das marcas Cisco e Netgear nos EUA para criar a botnet.
Os roteadores foram infectados com o malware KV Botnet, que, segundo o alerta, permitiu à RPC se esconder como fonte de ataques subsequentes contra organizações CNI operadas nos EUA e em países estrangeiros.
Em maio de 2025, o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) estava entre vários agências de inteligência internacionais que emitiu orientações, alertando os operadores da CNI para tomarem medidas preventivas para impedir que os hackers do Volt Typhoon acessem e se escondam em seus sistemas.
“A grande maioria dos roteadores que compunham o KV Botnet eram roteadores Cisco e Netgear vulneráveis porque haviam atingido o status de ‘fim de vida’… [and] não eram mais suportados pelos patches de segurança do fabricante ou outras atualizações de software”, afirmou o alerta de segurança do governo dos EUA.
A remoção é o resultado de uma operação autorizada pelo tribunal dos EUA para excluir o malware dos roteadores afetados, que recebeu sinal verde em dezembro de 2023. A intervenção do tribunal também resultou na tomada de medidas adicionais para impedir que outros dispositivos se comunicassem com a botnet.
“O malware Volt Typhoon permitiu que a China se escondesse enquanto visava nossos setores de comunicações, energia, transporte e água”, disse o diretor do FBI, Christopher Wray.
“O seu pré-posicionamento constitui uma potencial ameaça real à nossa segurança física que o FBI não irá tolerar. Continuaremos a trabalhar com os nossos parceiros para atingir a RPC com força e cedo, sempre que os virmos ameaçar os americanos.”
O procurador-geral Merrick Garland disse que a ação é uma demonstração do compromisso do Departamento de Justiça em adotar uma abordagem proativa para proteger o CNI do país.
“Os Estados Unidos continuarão a desmantelar operações cibernéticas maliciosas, incluindo aquelas patrocinadas por governos estrangeiros – que minam a segurança do povo americano”, continuou Garland.
A procuradora-geral adjunta, Lisa Monaco, disse que a sua decisão de eliminar a botnet de centenas de routers em todo o país é uma prova de como o Departamento de Justiça está “a utilizar todas as suas ferramentas para interromper ameaças à segurança nacional em tempo real”.
Ela adicionou: “[It] também destaca a nossa parceria crítica com o setor privado – a denúncia de vítimas é fundamental para combater o crime cibernético, desde os escritórios domésticos até às nossas infraestruturas mais críticas.”
Sandra Joyce, vice-presidente de inteligência da Mandiant, empresa de inteligência de ameaças cibernéticas de propriedade do Google, disse que os métodos do Volt Typhoon significam que sua atividade pode ser muito difícil de detectar
“Eles estão utilizando sistemas comprometidos para se integrarem à atividade normal da rede e mudarem constantemente a fonte de sua atividade”, disse Joyce. “Eles estão até impedindo o uso de malware que pode disparar alarmes e nos fornecer algo sólido para procurar. Atividades como essa são extremamente desafiadoras de acompanhar, mas não impossíveis.”