Um grupo de interesses russos focou uma entidade financeira europeia através de um ataque de engenharia social concebido para obter acesso e, provavelmente, dados ou fundos. A operação, detectada no início do mês, não só reproduz técnicas conhecidas dos cibercriminais que operam contra alvos na Ucrânia, mas também sugere um deslocamento de interesses para organizações ocidentais que apoiam a reconstrução e a assistência à nação em guerra.
Segundo a análise publicada pela assinatura de cibersegurança Blue Voyant, os atacantes realizaram um envio dirigido de um domínio falso que simulava pertencer ao sistema judicial ucraniano. O e-mail destinava-se a um assessor sênior em matéria legal e de políticas do organismo alvo, uma pessoa com acesso privilegiado a processos de contratação e mecanismos financeiros, tornando esse perfil um alvo especialmente valioso.
O lixo não vinha sozinha: a mensagem continha um link para um arquivo hospedado em um serviço público de troca (PixelDrain) (pixeldrain.com), uma tática usada para esquivar controles baseados em reputação. Ao baixar o pacote comprimido começa uma cadeia de infecção deliberadamente enrevesada: dentro do ZIP havia um arquivo RAR que, por sua vez, continha 7-Zip protegido com senha. O objetivo final era um executável que se fazia passar por um documento PDF aproveitando a velha artimanha da dupla extensão (*.pdf.exe).
A execução desse ficheiro desembocou na instalação de um MSI que lançou o Remote Manipulator System (RMS), uma ferramenta de controlo remoto legítima que permite controlar os ecrãs, partilhar o ecrã e transferir ficheiros. O uso de software legítimo para manter persistência e movimento dentro da rede é uma prática comum entre atores sofisticados porque reduz as possibilidades de detecção por assinaturas tradicionais. Para entender por que esta técnica é problemática basta lembrar a forma como os atacantes aproveitam programas legítimos para ocultar sua atividade, algo bem descrito em marcos de referência como MITRE ATT&CK.
A operação foi atribuída a um conjunto rastreado como UAC-0050 — também conhecido em alguns relatos como DaVinci Group — e batizado por BlueVant como Mercenary Akula. Este ator tem história de usar ferramentas legítimas de acesso remoto (como LiteManager) e troianos de acesso remoto (por exemplo, RemcosRAT) em ataques contra alvos ucranianos. As autoridades ucranianas, através do CERT-UA, descreveram UAC-0050 como um grupo mercenário com ligações com agências de segurança russas, dedicado a coletar dados, roubar fundos e realizar operações de desinformação sob marcas como Fire Cells ( ver comunicado).
Para além do caso específico, especialistas e relatórios internacionais apontam para uma tendência preocupante: as operações de atores com ligações russas parecem cada vez mais orientadas para obter inteligência acionável que facilite ataques físicos ou financeiros a posteriori. Um exemplo é a informação recentemente publicada que indica que os ataques cibernéticos contra a infraestrutura energética ucraniana têm procurado priorizar a coleta de dados para guiar ataques de mísseis, em vez de apenas causar interrupções imediatas ( The Record).
Em paralelo, grandes empresas de cibersegurança antecipam que esses adversários não só manterão sua agressividade, mas também ampliarão o espectro de vítimas. No seu relatório anual, CrowdStrike Destaca como grupos como APT29 (Cozy Bear) aperfeiçoaram campanhas de spear-phishing que exploram relações de confiança, suplantando pessoas reais e usando contas comprometidas para fazer suas comunicações mais credíveis. Esse investimento em autenticidade converte os ataques direcionados para uma ameaça ainda mais perigosa para ONGs, entidades legais e atores que colaboram com a Ucrânia.
O que diferencia a intrusão que relata Blue Voyant é, além da complexidade técnica do empacotamento malicioso, o objetivo escolhido: uma figura com responsabilidade em compras e finanças. Esse tipo de perfis pode oferecer acesso direto a informações críticas ou a canais, desde que mover ou esconder fundos, o que reforça a ideia de que os ataques atuais combinam fins de espionagem, fraude e sabotagem económica.
Para organizações e profissionais que trabalham em ambientes ligados à reconstrução ou à ajuda internacional, a lição é clara: as ameaças dirigidas usam meios cada vez mais polidos para passar por comunicações legítimas e se apoiam em ferramentas comuns para evitar alarmes. Embora não exista uma barreira infalível, a consciência sobre a suplantação de domínios, a desconfiança diante de arquivos comprimidos de links inesperados e a verificação por canais alternativos antes de abrir anexos podem reduzir significativamente o risco.
No plano estratégico, a evolução dessas campanhas confirma dois pontos: por um lado, que os atores com orientação estatal/paraestatal continuam instrumentando grupos mercenários para operações híbridas; por outro, que a fronteira entre cibercrime e operações de inteligência se difumina, fazendo que incidentes que a primeira vista buscam lucro também persiga objetivos de coleta de inteligência com consequências potencialmente letais no mundo físico.
Para quem quiser aprofundar, o relatório da BlueVant oferece o detalhe técnico do caso ( fonte), CERT-UA mantém alertas sobre as táticas de UAC-0050 ( ver nota) e análise de tendências de assinaturas como CrowdStrike contextualizam esses incidentes dentro de um padrão mais amplo de operações de ciber-inteligência ( Relatório anual). O relato de The Record sobre o uso de ataques cibernéticos para guiar ataques físicos é também uma leitura relevante para compreender a dimensão híbrida destas ameaças ( Análise).
Em suma, a intrusão contra a instituição europeia não é um caso isolado, mas outro capítulo numa campanha mais ampla, onde atores com motivações geopolíticas aproveitam técnicas de engenharia social, infraestrutura pública de intercâmbio de arquivos e software legítimo para entrar, permanecer e extrair valor. A melhor resposta continua a ser uma combinação de vigilância técnica, formação contínua do pessoal e cooperação internacional entre equipes de cibersegurança e autoridades.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...