Um grupo ligado à Coreia do Norte, conhecido na comunidade de cibersegurança como UNC1069, também rastreado sob os nomes CryptoCore e MASAN, intensificou seus esforços contra o ecossistema das criptomoedas usando táticas muito sofisticadas de engenharia social combinadas com ferramentas modernas como a inteligência artificial gerativa. Segundo a equipe de inteligência de ameaças do Google e do Mandiant, essas operações não procuram apenas um acesso pontual: são projetadas para obter credenciais, tokens de sessão e material que permitam o desvio de fundos digitais de forma direta ou indireta. A preocupação é dupla: por um lado, a precisão dos cogumelos e por outro a variedade de cargas maliciosas que podem cair sobre uma máquina comprometida. Para o relatório do Google/Mandiant veja a nota técnica no blog do Google Cloud: UNC1069 targets cryptocurrency, AI-enabled social engineering.
O modus operandi descreve os analistas começa com um contato pelo Telegram. Os atacantes, por vezes usando contas legítimas comprometidas, fazem-se passar por investidores ou fundadores e propõem uma reunião. Para fechar a citação recorrem a ferramentas legítimas como o Calendly; o convite contém uma ligação que redirige a uma página que imita o Zoom. Esse link não leva a uma reunião segura, mas a uma web tramposa que reproduz uma interface de vídeochamada e, em muitos casos, mostra um vídeo que aparenta ser o interlocutor. Em investigações anteriores, foi documentada a utilização de material audiovisual gerado por IA ou de gravações reutilizadas para reforçar a ilusão de uma sessão ao vivo.
Quando a vítima “entra” nessa sala falsa, pede-lhe acender a câmera e confirmar sua identidade. Depois, aparece um pretexto técnico - uma falha de áudio - e um assistente na página oferece uma solução rápida: executar um comando ou um instalador para resolver o problema. Esse passo é a armadilha que exibe o malware. No macOS, o vetor conduz a um AppleScript que descarrega um binário Mach-O; no Windows o fluxo vira para executáveis e descarregadores que servem como porta de entrada para uma cadeia completa de ferramentas maliciosas.
Os pesquisadores de Mandiant detectaram até sete famílias distintas de malware em uma única intrusão, muitas delas novas no repertório do grupo. Com nomes como WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH, SUGARLOADER, CHROMEPUSH e SILENCELIFT, a infraestrutura combina downloads escritos em C++ e Go, backdoors que permitem controle remoto e componentes específicos para macOS e extensões de navegador. O esquema é claro: primeiro se instala um downloadr, então se articulam backdoors que permitem acesso direto e finalmente são executados módulos projetados para exfiltrar credenciais e dados sensíveis.
Em particular, a DEEPBREATH destaca a sua capacidade de manipular a base de dados de permissões do macOS (TCC) para acessar elementos protegidos como o chaveiro do iCloud, bem como dados de navegadores (cookies, senhas) e aplicativos como Telegram ou Notas da Apple. CHROMEPUSH, por sua vez, atua como uma extensão maliciosa que se instala em navegadores como Chrome e Brave fingiendo ser um editor offline do Google Docs; sua função inclui registro de teclas, captura de ingressos de usuário e roubo de cookies para seqüestrar sessões. Ou seja: a combinação destes componentes facilita tanto o roubo direto de chaves privadas ou credenciais como o sequestro de sessões para mover ativos digitais.
Uma das razões pelas quais estes ataques chamaram tanto a atenção é o emprego de técnicas de engenharia social potenciadas pela IA. O Google apontou o uso de modelos gerativos — como os que oferecem sua própria plataforma — para criar mensagens de aproximação, reproduzir vozes ou rostos credíveis, e até tentar escrever código capaz de extrair ativos. Esse aproveitamento da IA reduz o custo e aumenta a escala dos cogumelos, o que torna executivos, desenvolvedores e equipamentos de segurança em objetivos ainda mais vulneráveis. Para quem quiser aprofundar sobre como os atores estatais estão incorporando ferramentas modernas, o arquivo de Mandiant oferece recursos e relatórios adicionais: Recursos de Mandiant.
O impacto potencial é especialmente perigoso para empresas e profissionais do mundo cripto. Um único navegador comprometido ou um cookie de sessão roubado pode permitir que um atacante acesse plataformas de intercâmbio centralizado (CEX), interfaces de gerenciamento de carteiras ou contas de serviços que guardam chaves de acesso. Além disso, a prática de reutilizar gravações de vítimas anteriores — documentada por diferentes fornecedores como método de engano — acrescenta uma camada psicológica poderosa: ver “um rosto conhecido” ou ouvir “a voz de alguém real” reduz a suspeita e aumenta a confiança de quem recebe o convite. Kaspersky e outros fornecedores relataram campanhas com este estilo em que o replay de vídeo serviu exatamente para convencer mais vítimas; mais informações nos canais especializados como o blog da Kaspersky: Kaspersky Security Blog.
O que as empresas e os profissionais podem fazer para mitigar o risco? Em primeiro lugar, verificar a proveniência de qualquer convite à reunião, especialmente se vem por canais como Telegram ou se inclui redireções aparentes a serviços terceiros. Não executar comandos que provem de um site dudosa nem instalar ferramentas sem verificar a assinatura e a origem. No macOS, é conveniente rever regularmente as permissões do TCC, limitar o acesso ao chaveiro e usar senhas e autenticação em dois fatores robustos; no mundo cripto é recomendado separar os dispositivos que armazenam chaves daqueles que são usados para comunicação e navegação, e priorizar chaves físicas para 2FA quando possível. Ferramentas de detecção em endpoints e telemetria na rede que identifiquem comportamentos anômalos (descargas incomuns, conexões salientes a servidores C2, instalação de extensões não autorizadas) são outra barreira importante. Para diretrizes gerais sobre medidas defensivas e como responder a intrusões, as agências de cibersegurança públicas oferecem guias úteis, início na web do CISA: CISA.
Além da ação imediata, estes casos sublinham uma tendência maior: a indústria da segurança já não corre apenas atrás de exploits técnicos; os adversários combinam engenharia psicológica, plataformas legítimas e automação por IA para criar ataques altamente credíveis. A resposta exige não apenas adesivos e detecção, mas educação contínua, controlos de identidade rigorosos e uma abordagem de segurança por camadas que reduza a superfície de ataque em ambientes financeiros e de desenvolvimento.
Se você trabalha em uma startup cripto, em uma assinatura de capital risco ou em equipamentos de desenvolvimento que interagem com ativos digitais, você precisa tomar esse alerta como lembrete: valida convites, desconfia de atalhos que peçam executar ferramentas externas e separa seus ativos críticos em dispositivos e processos que não usam para tarefas cotidianas. A ameaça é real e evolui rapidamente; manter-se informado e aplicar controlos básicos pode marcar a diferença entre evitar uma intrusão e sofrer um roubo de ativos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...