Agências de segurança cibernética dos EUA, Austrália, Canadá e Nova Zelândia emitiram um alerta conjunto sobre o uso crescente da técnica Fast Flux por grupos de cibercriminosos para ocultar servidores maliciosos e dificultar ações de bloqueio e rastreamento. Fast Flux funciona ao associar um único domínio a múltiplos endereços IP, que mudam rapidamente por meio do Sistema de Nomes de Domínio (DNS). Isso permite aos operadores de ameaças mascarar a localização real de servidores de comando e controle (C2), dificultando a derrubada de suas infraestruturas.

A técnica pode ser aplicada em modo simples — com rotação constante de IPs — ou modo duplo, no qual até os servidores DNS responsáveis pelo domínio também mudam com frequência, oferecendo camadas adicionais de anonimato e resiliência. Grupos como Gamaredon, CryptoChameleon e Raspberry Robin têm utilizado Fast Flux para sustentar operações de malware, phishing e espionagem, escapando da vigilância de sistemas de defesa tradicionais.

Embora detectado pela primeira vez em 2007, o uso de Fast Flux se intensificou nos últimos anos. O alerta das agências destaca o potencial de uso prolongado de bots para mascarar infraestrutura maliciosa e dificultar o bloqueio por listas negras. Além disso, a técnica vem sendo usada não apenas para manter canais C2 ativos, mas também para hospedar sites de phishing e distribuir malwares. Como defesa, recomenda-se o bloqueio de IPs suspeitos, uso de sinkholes para domínios maliciosos, filtragem de tráfego baseado em reputação, monitoramento reforçado e campanhas de conscientização sobre phishing.