Botnet Kimwolf Ataca Rede de Anonimato I2P em Massivo Ataque Sybil
A botnet Kimwolf, baseada em IoT, interrompeu a rede I2P com um ataque Sybil, sobrecarregando 700 mil nós infectados e reduzindo sua capacidade em 50%. Saiba mais sobre os impactos e mitigações.
Botnet Kimwolf Sobrecarrega Rede de Anonimato I2P
Na última semana, a botnet Kimwolf — uma ameaça massiva baseada em IoT, identificada pela primeira vez no final de 2025 — vem causando graves disrupções no The Invisible Internet Project (I2P), uma rede descentralizada e criptografada projetada para comunicação anônima. As interrupções coincidiram com tentativas dos operadores da botnet de usar o I2P como infraestrutura de fallback para comando e controle (C2), visando evitar esforços de desativação.
Detalhes Técnicos do Ataque
A Kimwolf, que infectou milhões de dispositivos IoT mal protegidos (incluindo streaming boxes, molduras digitais e roteadores), vem utilizando o I2P para manter resiliência contra interrupções. Em 3 de fevereiro, usuários do I2P relataram um influxo repentino de dezenas de milhares de novos roteadores sobrecarregando a rede, resultando em falhas generalizadas de conectividade.
O ataque seguiu um padrão de ataque Sybil, no qual uma única entidade (neste caso, os operadores da Kimwolf) inunda uma rede peer-to-peer com identidades pseudônimas para degradar o desempenho. Segundo Lance James, fundador da empresa de cibersegurança Unit 221B e um dos primeiros contribuidores do I2P, a rede normalmente consiste em 15 mil a 20 mil dispositivos ativos — muito menos do que os 700 mil nós infectados pela Kimwolf tentando se conectar.
Os operadores da botnet discutiram abertamente suas ações em um canal do Discord, admitindo que haviam interrompido o I2P inadvertidamente enquanto testavam a rede como backup para C2. Benjamin Brundage, fundador da Synthient (uma startup de rastreamento de proxies), observou que a Kimwolf também experimentou usar a rede Tor para fins semelhantes, embora nenhuma grande disrupção no Tor tenha sido relatada.
Impacto no I2P e Preocupações de Segurança Mais Amplas
O ataque reduziu a capacidade operacional do I2P em cerca de 50%, com usuários relatando congelamentos de conexão quando o tráfego da rede excedeu 60 mil conexões simultâneas. Embora a função primária da botnet seja realizar ataques DDoS, seu recente direcionamento para redes de anonimato como I2P e Tor destaca uma tendência crescente: operadores de botnets buscando canais C2 resilientes para evitar desativação.
A Kimwolf já havia causado problemas para a Cloudflare, inundando sua infraestrutura DNS e fazendo com que domínios maliciosos superassem brevemente plataformas importantes como Amazon, Apple, Google e Microsoft nos rankings de tráfego da Cloudflare.
Status Atual e Esforços de Mitigação
Os desenvolvedores do I2P estão lançando uma atualização de estabilidade para restaurar as operações normais dentro de uma semana. Enquanto isso, Brundage relatou que o número de dispositivos infectados pela Kimwolf caiu em mais de 600 mil devido a uma má gestão interna, sugerindo que os operadores da botnet podem carecer de expertise operacional.
"Eles estão realizando experimentos em produção", disse Brundage. "A botnet está encolhendo, e eles não parecem saber o que estão fazendo."
Para as equipes de segurança, este incidente ressalta os riscos de botnets IoT explorando redes de anonimato para obter resiliência. Monitorar tráfego incomum em I2P/Tor e padrões de ataque Sybil pode ajudar a detectar ameaças semelhantes precocemente.