Nas últimas investigações de cibersegurança tornou-se evidente um padrão já conhecido, mas em constante refinamento: organizações do domínio da defesa e entes alinhados com o governo da Índia estão sendo alvo de campanhas de espionagem digital que buscam comprometer tanto equipamentos Windows como sistemas Linux. Os atacantes empregam ferramentas de acesso remoto —conhecidas como RATs — que permitem desde a exfiltração de informações até a permanência silenciosa em máquinas infectadas durante longos períodos.
Entre as famílias de malware apontadas pelos analistas aparecem nomes como Geta RAT, Ares RAT e DeskRAT. Estas peças não funcionam isoladamente: associa-se a clusters de ameaças com suposta afinidade paquistanesa, identificados na comunidade como Transparent Tribe (também referida como APT36) e SideCopy, esta última avaliada por alguns equipamentos como uma subdivisão que tem anos operando na mesma órbita. Para uma leitura técnica e uma análise mais aprofundada, convém consultar os relatórios de quem primeiro publicou estas observações e os comentários de equipas especializadas no blog de Aryaka e outras assinaturas que seguem esses atores.
A porta de entrada preferida continua sendo a engenharia social: e-mails de phishing com anexos maliciosos ou links para servidores controlados pelos atacantes. A partir daí se desdobram cadeias de infecção construídas em várias etapas que combinam truques velhos e novas adaptações. Um exemplo de texto observado é um acesso inicial através de um arquivo LNK (acesso direto do Windows) que invoca o mshta.exe para executar um arquivo HTA hospedado em domínios legítimos comprometidos. Esse HTA pode conter JavaScript que desencripta e carrega um DLL incorporado; o DLL processa dados empacotados, deixa em disco um documento señuelo (como um PDF), estabelece comunicação com um servidor de comando e controle (C2) e mostra o señuelo para evitar levantar suspeitas.
Este tipo de sofisticação não é casual. O uso de cogumelos que apresentam documentos plausível, a preferência por infraestrutura confiável na região e a adaptação automática do método de persistência segundo a presença de soluções de segurança são recursos que ajudam o ator a operar "por baixo do ruído", reduzindo a probabilidade de detecção por parte de gestores e ferramentas automáticas. Para ver exemplos de campanhas e análises técnicas adicionais, há recursos públicos de equipamentos de pesquisa e empresas dedicadas à cibersegurança como CYFIRMA ou páginas de laboratórios especializados como Seqrite Labs. Também o pesquisador que divulgou cadeias de ataque concretas compartilhou achados em redes sociais e plataformas técnicas ( publicação).
No que diz respeito às capacidades, o Geta RAT expõe uma longa lista de funções desenhadas para controle remoto e exfiltração: coleta de informações do sistema, enumeração de processos e aplicações, completação de processos concretos, roubo de credenciais, manipulação da área de transferência, captura de ecrãs, operações sobre arquivos, execução de comandos arbitrários e extracção de dados a partir de dispositivos USB conectados. Ou seja, não só serve para observar e mover dados, mas também para manter e ampliar a presença do atacante no ambiente comprometido.
Paralelamente à variante orientada para o Windows, as campanhas também se movem no Linux. Aí os adversários utilizaram binários escritos em Go como fase inicial para implantar um RAT em Python —Ares RAT — através de programas baixados de servidores externos. Ares oferece funcionalidades semelhantes: coleta de dados, execução remota de scripts e comandos, e capacidade de adaptar a operação em função do contexto da máquina atacada. Em outro vetor documentado, DeskRAT (outro malware desenvolvido em Golang) foi distribuído através de complementos de PowerPoint maliciosos que executam macros para recuperar e lançar a amostra final da rede.
O resultado é um ecossistema de ferramentas e cadeias de exploração que colocam o acento na persistência, sigilosidade e cobertura multiplataforma. Os relatórios publicados por vários laboratórios de segurança mostram como essas famílias e técnicas evoluíram: desde a reutilização de infra-estruturas comprometidas até a aposta por cargas em memória e execuções indiretas que dificultam sua rastreabilidade. Para aprofundar a técnica e correlacionar indicadores de compromisso, convém rever fontes especializadas e bases de conhecimento público sobre táticas e procedimentos, como as que oferece o quadro ATT&CK do MITRE em seu portal.
Que lições deixa este padrão para organizações e responsáveis pela segurança? Em primeiro lugar, que a superfície de ataque continua a ser humana: a formação destinada a reconhecer cogumelos credíveis e a verificação de remetentes devem ser prioritárias. Em segundo lugar, as defesas técnicas requerem uma combinação de medidas: filtrar e bloquear anexos suspeitos (especialmente LNK, HTA e macros em documentos), limitar o uso de ferramentas do sistema que são fornecidas a execução indireta (como mshta.exe), implantar soluções EDR/AV que detectem comportamentos anormais, e monitorizar o tráfego cessante em busca de ligações C2 atípicas. As entidades públicas competentes e as equipas de resposta a incidentes dispõem de guias e alertas que ajudam a implementar mitigações concretas; entre os recursos úteis estão os portais de equipamentos de resposta e organismos nacionais e internacionais dedicados à cibersegurança como CISA ou CERT-In da Índia.
Não é apenas uma questão técnica: quando a atividade está alinhada com interesses geoestratégicos, a ameaça se focaliza em setores muito concretos e os atacantes investem em aperfeiçoar cogumelos e em manter acesso a longo prazo. Por isso a resposta também deve ser estratégica e sustentada: compartilhar inteligência entre entidades, coordenar bloqueios de infraestrutura maliciosa e realizar auditorias constantes de sistemas críticos. Relatórios e análises coletivas — tanto de empresas privadas como de laboratórios acadêmicos — permitem mapear melhor o adversário e antecipar seu próximo movimento; neste sentido, as análises de empresas e laboratórios especializados são leitura recomendada para responsáveis técnicos e decisores.
Em suma, as campanhas expostas por Geta RAT, Ares RAT e DeskRAT lembram que a ciberespionagem continua a ser uma ameaça viva e adaptável. As ferramentas mudam e sofisticarão, mas os sinais de prevenção também não são novos: consciência, controles técnicos robustos, visibilidade na rede e colaboração entre o setor público e privado são as melhores barreiras para minimizar o impacto e reduzir a janela de atuação do atacante. Para aqueles que desejam consultar análises técnicas e notas de advertência, podem começar pelas publicações de empresas que investigaram estes incidentes e pelos recursos de organismos de cibersegurança acima referidos ( Aryaka, CYFIRMA, Seqrite Labs, SEKOIA e repositórios de referência como MITRE ATT&CK).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...