A equipe de cibersegurança da Cato CTRL detectou uma nova rede de bots (botnet) que infecta roteadores desatualizados da linha TP-Link Archer AX-21 (imagem abaixo). A ameaça, denominada “Ballista”, já conta com pelo menos 6 mil dispositivos sob seu controle e tem um “detalhe” alarmante: a grande maioria deles pertence a usuários brasileiros.
Segundo os especialistas, os roteadores do modelo que estão desatualizados têm uma vulnerabilidade que permite que terceiros executem comandos e códigos de forma remota. Dessa maneira, os dispositivos podem ser explorados para outros ciberataques, como invadir outros aparelhos ou DDoS (ataques de negação de serviço), derrubando sistemas completos e sites.
*Vale lembrar: uma botnet (ou rede de robôs) é uma estrutura formada por uma série de equipamentos conectados à internet que estão contaminados por malware e podem ser controlados remotamente por um invasor.
➡️ Quem possui um roteador do modelo abaixo deve atualizar o aparelho.
Roteadores do Brasil são grande maioria da botnet
De forma massiva, são os roteadores brasileiros os responsáveis por constituir a botnet da Ballista. Segundo a Censys, mais de 4,3 mil dos cerca de 6,1 mil dispositivos infectados são do Brasil.
Em seguida, estão a Polônia (368 dispositivos), o Reino Unido (246 dispositivos) e a Bulgária (231 aparelhos), sendo as regiões com mais vítimas registradas.
Entenda a brecha de segurança
A falha em questão é a CVE-2023-1389, que já havia sido descoberta em abril de 2023 e foi porta de entrada para a distribuição de outros malwares, a exemplo da botnet Mirai.
Por sua vez, a Ballista atual é mais recente, datando de janeiro de 2025 e com registros de atividade até o último mês de fevereiro.
Segundo pesquisadores, linhas de código em italiano sugerem uma provável origem para os autores da ameaça, mas a botnet ainda não teve sua autoria reivindicada por nenhum grupo cibercriminoso.
Como atualizar seu roteador TP-Link?
Há 2 anos, a TP-Link já lançou uma atualização que corrige a brecha em questão, quando surgiram os primeiros casos de exploração da vulnerabilidade. Porém, muitos modelos permanecem desatualizados, transformando os roteadores em alvos fáceis para a ameaça.
Fique de olho:
- Se o seu roteador Archer AX21 estiver conectado a uma conta TP-Link ID ou contar com o serviço TP-Link Cloud: nesse caso, você receberá mensagens automáticas sobre atualizações no aparelho na própria tela de administração. É só clicar no ícone “atualizar” na interface web do seu roteador, que fica na seção de configurações. Para mais informações, confira o guia do site do fabricante.
- Se você precisar atualizar o roteador manualmente: é só acessar a central de downloads da empresa e realizar o processo de instalação segundo o passo a passo.
Com informações de: Tecmundo
