Vulnerabilidade em modelos desatualizados da TP-Link Archer AX21 já infectou mais de 6 mil

Uma nova ameaça cibernética está tirando o sono de usuários de roteadores TP-Link no Brasil. A botnet Ballista, detectada pela equipe de cibersegurança Cato CTRL, já infectou mais de 6 mil dispositivos da linha Archer AX21, sendo 4,3 mil só no país.

A falha explorada, conhecida como CVE-2023-1389, permite que cibercriminosos executem comandos remotamente, transformando os roteadores em “zumbis” para ataques como invasões e negação de serviço (DDoS).

Por que o Brasil é o principal alvo?

• Grande parte dos roteadores infectados está no Brasil, seguido por Polônia, Reino Unido e Bulgária.
• A vulnerabilidade já era conhecida desde 2023, mas muitos usuários não atualizaram seus dispositivos.
• A Ballista é uma das botnets mais recentes, com atividades registradas desde janeiro de 2025.

Como se proteger?

A TP-Link lançou uma atualização de segurança há dois anos, mas muitos roteadores continuam desprotegidos. Para evitar ser vítima da Ballista, siga estes passos:

1. Verifique se seu roteador está conectado a uma conta TP-Link ID ou suporta o serviço TP-Link Cloud.
2. Acesse a interface de administração do roteador e clique em “Atualizar”.
3. Caso não receba notificações automáticas, baixe o firmware manualmente no site da TP-Link.

O que é uma botnet?

Uma botnet é uma rede de dispositivos infectados controlados remotamente por cibercriminosos. Esses aparelhos podem ser usados para:

• Realizar ataques DDoS.
• Enviar spam em massa.
• Explorar brechas de segurança em outros sistemas.

Impacto no mundo

Além do Brasil, a Ballista já atingiu países como EUA, Austrália, China e México, afetando setores como saúde, manufatura e tecnologia. Linhas de código em italiano sugerem que os criadores da botnet podem ter origem na Itália, mas a autoria ainda não foi confirmada.