Uma nova onda de intrusões que atingiu organismos públicos e centros de saúde — especialmente clínicas e hospitais de emergência — torna-se evidente como os atacantes misturam técnicas tradicionais com ferramentas modernas para roubar informações sensíveis. Assim o alertau para a equipe de resposta a emergências informáticas da Ucrânia, CERT-UA, que rastreiou a atividade entre março e abril de 2026 e a tem vinculado a um grupo identificado como UAC-0247.
O ponto de partida destas invasões é, aparentemente, um gancho emocional: e-mails que prometem ajuda humanitária e contêm um link. Esse vínculo pode dirigir uma web legítima comprometida através de uma vulnerabilidade de tipo cross-site scripting (XSS) ou a um portal falso fabricado com assistência de ferramentas de inteligência artificial. A intenção real, em qualquer caso, é induzir o destinatário a obter um acesso direto do Windows (arquivo LNK) que, ao activar, lança uma aplicação HTML (HTA) através da utilidade nativa mshta.exe. Este fluxo de execução utiliza características válidas do sistema para executar código malicioso sem levantar suspeitas imediatas.
Enquanto a janela HTA mostra um formulário ou um señuelo para distrair o usuário, em segundo plano, um executável que injeta código num processo legítimo do sistema (por exemplo, runtimeBroker.exe). Em algumas das intrusões analisadas, foi observado um carregador em duas etapas com um segundo módulo que utiliza um formato executável proprietário, com suporte para secções de código e dados, importação de funções e relocalização; além disso, o payload final chega comprimido e criptografia para dificultar a sua detecção e análise.
Entre os componentes identificados figura um shell inverso baseado em TCP conhecido como RAVENSHELL ou variantes equivalentes, que abre uma conexão com um servidor de comando e controle para receber instruções e executar comandos por cmd.exe. Também foram obtidas ferramentas construídas em .NET, como uma família com o nome AGINGFLY que atua como backdoor e se comunica com seu C2 por WebSockets. Um programa do PowerShell apodado SILENTLOOP aparece como facilitador: gerencia a execução de comandos, atualiza configurações e obtém o endereço do servidor de comando de um canal do Telegram, recorrendo a métodos alternativos em caso de falha.
O objetivo final descrito pelos pesquisadores foi a exploração interna das redes atacadas, o movimento lateral entre sistemas e, muito especialmente, a extração de credenciais e dados sensíveis armazenados em navegadores baseados em Chromium e no WhatsApp Web. Para o conseguir, os operadores utilizaram vários utilitários de código aberto que permitem, por exemplo, evitar certas protecções de Chromium para aceder a cookies e senhas guardadas, extrair e decifrar bases de dados locais do WhatsApp Web e elaborar túneis dentro da rede comprometida para exfiltrar informações ou receber instruções adicionais.
Ferramentas como Chisel e outras soluções de tunneling, que têm repositórios públicos e uso legítimo em administração e testes, foram reutilizadas pelos atacantes para pivotar e manter canais de comunicação persistentes. RustScan aparece mencionado como exemplo de scanner de rede que facilita o reconhecimento, e em alguns incidentes foi detectado mesmo software de mineração de criptomoedas em equipamentos comprometidos, o que indica uma combinação de objetivos: desde espionagem até monetização direta do acesso.
Outro aspecto relevante do padrão é a distribuição dirigida a certos coletivos através de mensagens cifradas. CERT-UA detectou envios maliciosos por Signal contendo arquivos ZIP preparados para implantar AGINGFLY através da técnica conhecida como side-loading de DLL, uma forma de enganar aplicações legítimas para carregar bibliotecas manipuladas. Essa evidência sugere que, além de instituições civis, representantes das Forças de Defesa da Ucrânia também puderam ter sido alvo da campanha.
Para entender a dimensão operacional da ameaça, convém remeter-se a fontes técnicas sobre cada um dos elementos que aparecem no ataque. O abuso de utilidades legítimas do sistema, como mshta.exe ou PowerShell, é um padrão conhecido e documentado pelos fabricantes e equipamentos de segurança porque permite aos atacantes executar cargas quase invisíveis dentro de processos confiáveis. As ferramentas de tunneling e digitalização citadas, com projetos públicos em plataformas como o GitHub, podem ser consultadas para entender como os recursos legítimos são reinterpretados para fins maliciosos; por exemplo, o projeto Chisel está disponível em seu repositório oficial em seu repositório oficial GitHub, e o RustScan pode ser consultado em seu repositório. A presença de mineiros como XMRig também é fácil de verificar em seu site oficial xmrig.com.
Que lições práticas deixa este caso? A primeira é que as campanhas efetivas combinam engenharia social com abuso de funcionalidades legítimas do sistema, o que exige controles tanto no perímetro quanto no interior da rede. Limitar a capacidade de executar atalhos LNK, aplicações HTA e scripts JS, e controlar o uso de utilitários de administração como mshta.exe, powershell.exe ou wscript.exe reduz superfícies de ataque e obriga o atacante a usar métodos mais ruídos ou complexos para conseguir persistência. Além disso, monitorizar as ligações salientes invulgares, rever a integridade de processos críticos e bloquear cargas úteis desconhecidas nas contas de correio e aplicativos de mensagens são medidas complementares.
No plano organizacional, a notificação precoce e a partilha de indicadores de compromisso entre agências e fornecedores de segurança acelera a detecção e resposta. Grupos de resposta como CERT-UA publicam advertências e análises que servem para coordenar mitigações; seu portal pode ser consultado em cert.gov.ua. E para equipamentos técnicos e responsáveis pela segurança, é recomendável rever os guias de mitigação e as políticas de bloqueio de execução de arquivos não assinados ou de tipos de arquivo perigosos, bem como aplicar segmentação e controles de acesso mínimo para limitar o alcance de uma intrusão.
Em suma, esta campanha é um lembrete de que a combinação de senheios verosímiles, exploração de páginas web legítimas (ou de páginas geradas por IA) e o aproveitamento de ferramentas administrativas do próprio sistema continua a ser uma fórmula eficaz para atores com recursos. A defesa passa por reduzir as janelas de exposição aplicando controlos técnicos, políticas de segurança e formação para que o pessoal não caia no cebo inicial.
Para ampliar a informação com análise técnica e recomendações, além de consultar a comunicação oficial da CERT-UA, é útil rever documentação e alertas sobre abuso de utilidades do Windows e técnicas de side-loading publicadas por fabricantes e centros de resposta, bem como as páginas e repositórios das ferramentas mencionadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...