No final de 2025 surgiu em fóruns do lado escuro um novo projeto de malware orientado para roubar informações que chamou a atenção dos pesquisadores: Arkanix Stealer. Na aparência era um produto pensado para clientes: oferecia um painel de controle, comunicação através de um servidor de Discord e uma estrutura de preços em dois níveis — uma opção básica escrita em Python e uma versão “premium” nativa em C++ protegida com VMProtect—, mas apenas durou alguns meses antes de seu autor desativar tudo sem aviso. Essa curta vida útil e as pegadas encontradas pelos analistas apontam para algo mais do que uma simples campanha criminosa tradicional: é muito provável que Arkanix fosse, pelo menos em parte, o resultado de um experimento de desenvolvimento assistido por modelos de linguagem. O achado destaca como as ferramentas de IA estão acelerando e abaratando a criação de código malicioso.
A análise técnica feita pelos pesquisadores da Kaspersky fornece a base de informação mais completa sobre Arkanix. Em seu relatório detalham tanto as capacidades do malware como as pistas que sugerem a intervenção de grandes modelos de linguagem na geração de código, documentação e artefatos do projeto. Você pode consultar essa análise diretamente no relatório público da Kaspersky para rever os indicadores de compromisso e a descrição técnica: Kaspersky — Arkanix Stealer.
No que diz respeito às suas funções, a Arkanix incorporava um conjunto de capacidades típicas nos "info-stealers" modernos: recolha de informações do sistema, extracção de credenciais e dados armazenados em navegadores - incluindo história, completação, cookies e senhas - e roubo de carteiras ou extensões criptográficas em dezenas de navegadores. Os pesquisadores também apontam a capacidade de capturar tokens OAuth2 em navegadores baseados em Chromium, uma técnica que facilita o acesso persistente a contas sem necessidade de senhas tradicionais. Além disso, o Troia atacava credenciais de serviços VPN conhecidos, podia comprimir e exfiltrar arquivos do sistema e dispunha de módulos baixados do seu servidor de comando e controle: desde gravadores para Chrome e adesivos para carteiras como Exodus até ferramentas para captura de tela, acesso remoto virtual (HVNC) e roubadores para clientes como FileZilla ou Steam.
A versão premium acrescentava funcionalidades mais avançadas: roubo de credenciais RDP, verificação anti-sandbox e anti-debugging, captura de tela através de WinAPI e capacidade de se dirigir a plataformas de jogos e serviços de autenticação como Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect e GOG. Também incluía uma ferramenta pós-explotação chamada ChromElevator, concebida para injetar em processos de navegador suspensos com a intenção de contornar proteções como a App-Bound Encryption (ABE) do Google e assim aceder a credenciais de forma não autorizada. A proteção com VMProtect buscava complicar a análise estática e retardar a detecção por produtos de segurança.
Além das capacidades técnicas, o projeto se comportava como um produto comercial: existia um dashboard com opções de afiliados e recompensas por referidos — um incentivo para acelerar a distribuição — e o servidor de Discord servia como espaço para atualizações, suporte e feedback da comunidade. Mas esse ecossistema público também terminou abruptamente: o autor eliminou o painel e fechou o canal sem comunicações, sugerindo que a iniciativa foi intencionalmente efímera. Segundo os próprios pesquisadores, isso complica o trabalho de detecção e acompanhamento, porque os desenvolvedores podem lançar, monetizar e desaparecer rapidamente, deixando pouca rastreabilidade.
Uma das conclusões mais preocupantes do estudo é a possibilidade de o desenvolvimento da Arkanix ser apoiado em modelos de linguagem para acelerar a programação, geração de código e elaboração de documentação. Os analistas identificaram padrões e traços no código e nos artefatos que coincidem com processos assistidos por LLM, o que, em sua avaliação, pode ter reduzido significativamente o tempo e o custo de criação. Se os criminosos incorporam com sucesso a IA para automatizar partes do ciclo de desenvolvimento, estamos diante de um potencial de democratização do malware: atores com menores habilidades técnicas poderiam montar ferramentas sofisticadas buscando ganhos rápidos.
Este fenómeno não se limita à Arkanix. A comunidade de segurança tem tempo a alertar sobre o uso duplo de ferramentas de inteligência artificial e sobre como a disponibilidade de assistentes de programação pode transformar a ameaça. Os quadros e recomendações para gerir os riscos da IA, como os trabalhos de organismos nacionais e internacionais sobre governação da IA, são mais importantes quando são detectadas aplicações ofensivas no campo da cibersegurança. Neste sentido, abordagens coordenadas que integrem normas técnicas, práticas de segurança e colaboração entre o sector privado e as autoridades são essenciais; organizações como o NIST publicaram recursos para orientar o desenvolvimento responsável pela IA: NIST — AI resources.
Para defensores e usuários comuns as lições são práticas e urgentes. Manter software e navegadores atualizados, ativar a autenticação multifator sempre que possível, usar gestores de senhas em vez de armazenar credenciais em texto plano ou em formulários do navegador e revisar o acesso a tokens e sessões ativas são medidas que reduzem a janela de oportunidade para atores que se aproveitam de credenciais comprometidas. Do lado empresarial, a monitorização de atividade anómala em endpoints, a segmentação de redes e políticas rigorosas sobre o uso de APIs e máquinas (especialmente onde são geridos tokens com permissões elevadas) ajudam a atenuar o impacto deste tipo de ferramentas.
Finalmente, Arkanix ilustra duas tendências inter-relacionadas: por um lado, a profissionalização e comercialização do software criminoso - que já há tempo adotou modelos de negócio estilo “as-a-service” - e, por outro, a chegada da IA como multiplicadora de capacidades para desenvolvedores e criminosos. Os relatórios técnicos como o publicado pela Kaspersky não só documentam a ameaça concreta, mas fornecem indicadores de compromisso (hashes, domínios e endereços IP) que permitem a equipamentos de resposta e ferramentas de segurança identificar e bloquear variantes. Os responsáveis pela segurança deveriam aproveitar esses recursos para fortalecer detectores e regras internas; o relatório da Kaspersky é um bom ponto de partida para quem precisa de detalhes técnicos: Kaspersky — Relatório Arkanix.
Se houver uma ideia clara após o episódio Arkanix, a velocidade e a facilidade com que se podem desenvolver ferramentas daninhas serão fatores determinantes no risco global. A comunidade de segurança, os fornecedores de tecnologia e as instituições públicas devem não só melhorar as defesas técnicas, mas também trabalhar em políticas e práticas para reduzir o abuso de tecnologias de uso geral. Enquanto isso, usuários e administradores devem assumir que a ameaça evolui e aplicar medidas de prevenção básicas com constância: a higiene digital e a adoção de boas práticas continuam sendo as barreiras mais efetivas diante desse tipo de malware.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...