Nos últimos meses emergiu um padrão inquietante: grupos de ciberdelinquência estão aproveitando a relação de confiança entre empresas e fornecedores de serviços externos para abrir portas para empresas de alto valor. De acordo com as análises dos equipamentos de inteligência de ameaças do Google, um ator rastreio como a UNC6783 tem estado a comprometer fornecedores de outsourcing de processos empresariais (BPO) para depois pivotar seus clientes e extrair informações sensíveis que depois utilizam para exigir resgates.
O que torna esta tática especialmente perigosa é sua simplicidade aparente e sua eficácia. Em vez de tentar infringir diretamente uma grande corporação, os atacantes focam seu esforço nas empresas que já têm acesso legítimo a dados, ferramentas ou sistemas internos. Ao atacar o elo externo — o BPO — reduzem a superfície de ataque e aumentam a probabilidade de sucesso ao explorar relações de confiança e canais de suporte. O Google e outros equipamentos de resposta documentaram campanhas em que dezenas de entidades corporativas foram afetadas por este método.
Os vetores que emprega UNC6783 são, em sua maioria, de engenharia social: campanhas de phishing dirigidas e ataques a agentes de suporte por chat ao vivo. Nestes incidentes, os atacantes guiam funcionários de helpdesk para páginas de início de sessão falsificadas que imitam serviços de identidade ou painéis de suporte, muitas vezes usando domínios projetados para parecer legítimos. O objetivo não é apenas roubar credenciais, mas também sortear barreiras como a autenticação multifator (MFA). Segundo a análise compartilhada por Austin Larsen, analista principal do grupo de inteligência do Google, alguns kits de phishing implantados nessas campanhas são capazes mesmo de capturar conteúdo da área de transferência para burlar fatores adicionais de segurança e registrar dispositivos como se fossem de confiança.
Além do abuso do chat ao vivo e das páginas de login fraudulentas, foram observadas tentativas mais diretas: a distribuição de supostas atualizações de segurança que realmente instalam malware de acesso remoto, ou a suplantação de funcionários para ganhar privilégios dentro de sistemas críticos. Esses métodos permitem aos atacantes mover-se lateralmente, coletar dados e, finalmente, preparar uma operação de extorsão. Em muitos casos, os internautas contaram as vítimas através de contas de e-mail criptografado e anônimas - por exemplo, serviços como ProtonMail - para solicitar pagamentos em troca de não publicar as informações recebidas.
Os pesquisadores também apontaram a possível conexão entre UNC6783 e uma identidade conhecida como “Raccoon”. Relatórios e publicações em redes atribuiram a essa pessoa ou grupo reclamações de lacunas contra grandes empresas, alegando acesso após comprometer um BPO. Algumas destas afirmações ainda não foram totalmente verificadas pelas empresas envolvidas, mas ilustram um padrão recorrente: o compromisso de fornecedores externos seguido de vazamentos ou demandas de pagamento.
Diante deste cenário, as recomendações de defesa combinam medidas técnicas e operacionais. No técnico, a adoção de mecanismos de autenticação realmente resistentes ao phishing, como chaves de segurança baseadas em FIDO2, reduz drasticamente a capacidade desses kits para falsificar acessos. O Google e os equipamentos de resposta incidentes também sublinham a importância de monitorar e proteger os canais de suporte ao vivo, porque são vetores que permitem a um atacante manipular interações humanas em tempo real. Outra prática essencial é bloquear domínios que imitam padrões legítimos de fornecedores de suporte - por exemplo, variações que se fazem passar por subdomínios de plataformas de atenção - e auditar periodicamente os registros de dispositivos inscritos em MFA para detectar inscrições fraudulentas.
Essas recomendações não são teoria: adotar controles mais estritos e trabalhar de forma coordenada com fornecedores pode marcar a diferença entre um incidente conteúdo e uma filtração massiva. A segurança já não pode limitar-se às fronteiras do ambiente empresarial; deve estender-se à cadeia de fornecedores, com contratos, avaliações técnicas e simulação de resposta que incluam o BPO.
Se quiser aprofundar as análises e observações públicas sobre essas campanhas, os relatórios e comunicados das equipes de inteligência do Google oferecem um ponto de partida para compreender táticas e artefatos utilizados. Você pode consultar o repositório de publicações do Threat Analysis Group do Google para ver pesquisas e recomendações: https://blog.google/threat-analysis-group/. Para contexto jornalístico e cobertura sobre incidentes atribuídos a esses atores e reivindicações públicas de lacunas, meios especializados como BleepingComputer seguiram a evolução dos casos: BleepingComputer — Cobertura sobre UNC6783. Também foram divulgadas alegações em redes sociais por conta que seguem inteligência aberta, como esta publicação em X que descreveu supostas reivindicações de “Mr. Raccoon: https://x.com/IntCyberDigest/status/2039774692085526854, e declarações técnicas compartilhadas por analistas no LinkedIn: Austin Larsen. Para referências sobre mecanismos de autenticação resistentes ao phishing, a aliança FIDO mantém recursos e guias: https://fidoalliance.org/.
Em suma, o caso da UNC6783 é um lembrete de que a segurança é um ecossistema partilhado. Proteger a organização hoje implica colaborar estreitamente com os parceiros que gerem dados e serviços críticos, combinar controlos técnicos sólidos com consciência humana e rever continuamente as configurações de acesso. Essas empresas que comecem a incorporar essas práticas estarão melhor posicionadas para interromper as campanhas de extorsão antes de escalem.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...