Imagina que o teu telemóvel, o teu tablet ou a tua câmara de segurança estiveram, durante meses, a trabalhar para criminosos russos sem que soubesses. Enquanto dormias, o teu endereço IP — o teu bilhete de identidade na internet — era alugado a alguém na dark web para lançar ataques DDoS, enviar phishing ou forçar passwords em sites bancários. Não é um cenário hipotético. A 28 de maio de 2026, as autoridades holandesas anunciaram que tinham desmantelado uma botnet com 17 milhões de dispositivos infetados — uma das maiores de sempre — controlada por 200 servidores alojados num único fornecedor nos Países Baixos.
O National Cyber Security Centre (NCSC) dos Países Baixos, em conjunto com a Polícia de Haia, descreveu a operação como o culminar de uma investigação que começou com uma denúncia de um investigador de segurança. O que encontraram foi uma infraestrutura de 200 servidores que controlava «pelo menos 17 milhões de dispositivos infetados» — um número que o NCSC sublinha ser o mínimo. O total real pode ser bastante maior.
ASOCKS: a fábrica russa de proxies humanos
No centro da botnet está a ASOCKS, uma empresa russa com morada registada em França (40 Quai de Dion Bouton, Puteaux) que vende proxies residenciais. O conceito é simples e macabro: um proxy residencial encaminha o tráfego de internet através da ligação de uma casa ou empresa real, fazendo com que pareça vir de um utilizador legítimo e não de um data center ou VPN. Isto torna-o muito mais difícil de detetar e bloquear.
A ASOCKS vendia este acesso por 5 a 15 dólares por mês. Anunciava 7 milhões de IPs, 100.000 clientes e 150 localizações geográficas. «Serviço de proxy universal com a melhor funcionalidade», lia-se no site — que, à hora em que este artigo é escrito, continua online a aceitar clientes.
O tráfego de internet de criminosos era encaminhado através de IPs residenciais legítimos — o teu, o meu, o de milhões de pessoas — tornando-o praticamente indistinguível do tráfego normal.
Como é que o teu dispositivo foi parar lá dentro
O NCSC identificou três formas de um dispositivo se tornar parte de uma rede destas.
A primeira é o consentimento — mas não como o imaginas. Há pessoas que instalam voluntariamente software de proxy em troca de uns euros ou para contornar bloqueios geográficos. A segunda é o consentimento inconsciente: aceitaste os termos de serviço de uma app de VPN grátis, de um jogo ou de uma aplicação de streaming sem ler a letra pequena, e essa letra pequena dizia que o teu IP pode ser partilhado. A terceira é a infeção pura e simples: malware instalado sem o teu conhecimento através de apps maliciosas, vulnerabilidades em routers ou firmware pré-instalado em dispositivos IoT baratos — como aquelas Android TV boxes que se compram na Temu por 30 euros.
Em março de 2024, a empresa de segurança Human Security publicou uma investigação que ligava a ASOCKS à botnet Proxylib: 28 aplicações na Google Play estavam a inscrever secretamente os dispositivos dos utilizadores na rede de proxies da empresa russa. No pico, a Proxylib tinha 190.000 dispositivos Android. O código veio do Oko VPN, uma app que já tinha sido removida da loja por fraude publicitária. Uma segunda geração de apps maliciosas usava o LumiApps SDK, que permitia aos criadores injetar a funcionalidade de proxy sem recompilar o código.
O NCSC considera esta uma tendência preocupante. O uso indevido de proxies residenciais torna mais difícil mapear ameaças digitais e ataques digitais. À medida que a escala dos ataques aumenta, a resiliência das organizações pode ser posta sob pressão. Além disso, os dispositivos de utilizadores desprevenidos podem passar a fazer parte destas redes de proxy, muitas vezes sem o seu conhecimento. Desta forma, os consumidores são, involuntariamente, parte do cibercrime.
— NCSC-NL, blog de especialistas, 27 de maio de 2026
Para que servia
O catálogo de crimes que usavam a rede da ASOCKS é o manual completo do cibercrime moderno: ataques DDoS lançados a partir de milhares de IPs residenciais «de confiança» que os sistemas de mitigação não bloqueiam; phishing e spam que passam os filtros porque vêm de IPs legítimos; credential stuffing — o ataque de tentar milhões de combinações de email e password em sites de bancos e lojas online, distribuído por milhares de endereços para não disparar alarmes; fraude de cliques e SMS pumping, gerando receitas publicitárias falsas; e distribuição de malware escondendo as comunicações de comando e controlo atrás de tráfego que parece doméstico.
A ASOCKS comercializava o acesso à botnet como um serviço legítimo de proxies residenciais. Os clientes podiam ser criminosos — ou simplesmente não fazer perguntas sobre a origem dos IPs.
O golpe holandês
A operação de desmantelamento foi notavelmente simples — e notavelmente eficaz. Um investigador de segurança descobriu a botnet e reportou-a ao NCSC. O NCSC informou a polícia. Juntos, identificaram que toda a infraestrutura — os 200 servidores — estava alojada num único fornecedor de hosting nos Países Baixos. A polícia apreendeu vários servidores para investigação forense. O fornecedor, ao tomar conhecimento de que os servidores estavam a ser usados para fins criminosos, desligou tudo.
Ao contrário da maioria das grandes operações de desmantelamento de botnets — que envolvem a Europol, o FBI e meses de coordenação internacional — esta foi puramente holandesa. A razão é simples: por acaso ou por descuido, os operadores russos concentraram toda a sua infraestrutura de comando num só país. Quando as autoridades neerlandesas agiram, não houve para onde fugir.
Ninguém foi preso
É aqui que a vitória tem um sabor agridoce. Apesar do desmantelamento da infraestrutura, não foi anunciada qualquer detenção relacionada com a ASOCKS. A empresa continua operacional. O site aceita clientes. E os 17 milhões de dispositivos, embora livres do controlo central, continuam provavelmente com malware instalado — prontos para serem recrutados por outra botnet se não forem limpos.
O The Register notou a estranheza: ao contrário do que é habitual, as autoridades não revelaram o nome da botnet, não detalharam que tipo de dispositivos estavam infetados e não indiciaram ninguém. A operação parece ter sido puramente infraestrutural: desligar o cérebro e esperar que o corpo morra. Mas num ecossistema onde o cibercrime é um negócio, o corpo arranja outro cérebro.
O que podes fazer
A probabilidade de o teu dispositivo ter estado nesta botnet é baixa — 17 milhões em vários milhares de milhões de dispositivos conectados. Mas não é zero. E numa próxima botnet, pode ser mais alta.
As recomendações do NCSC são simples e deviam ser tão automáticas como fechar a porta de casa: mantém o sistema operativo, o router e as apps atualizados (as atualizações fecham as vulnerabilidades que o malware explora); sabe que dispositivos inteligentes tens na tua rede — cada câmara IP, cada Android TV box, cada lâmpada WiFi é um computador que pode ser infetado; usa passwords únicas e fortes com autenticação de dois fatores; só instala apps de fontes oficiais — e mesmo assim, verifica os comentários e as permissões que pedem; e protege o WiFi com WPA2 ou WPA3, mudando a password de fábrica do router.
A história da botnet da ASOCKS é, no fundo, uma história sobre o valor do teu endereço IP. Durante anos, pensámos no IP como um detalhe técnico — uma sequência de números que muda sozinha e que não interessa a ninguém. A ASOCKS mostrou que um IP residencial vale dinheiro. Vale 5 dólares por mês no mercado negro dos proxies. Vale o suficiente para que uma empresa russa construa uma rede de 17 milhões de dispositivos — sem que a maioria dos donos soubesse.
A pergunta que fica não é «como é que a polícia holandesa conseguiu desmantelar a botnet?». A pergunta é: quantas outras ASOCKS estão a funcionar neste momento, com servidores noutros países, à espera que alguém as descubra?
Feito por humanos — Filipe Guerra
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!