Motivação

O STX RAT representa mais um representante relevante da evolução contínua dos Remote Access Trojans (RATs) baseados em .NET, operando em um ecossistema onde acessibilidade, modularidade e baixo custo de entrada favorecem sua rápida disseminação entre atores de ameaça com diferentes níveis de sofisticação. Para a tomada de decisão de CISOs, o risco não reside apenas nas capacidades técnicas do malware, mas na combinação de três fatores críticos:

• Facilidade de aquisição e operação (commodity malware)
• Capacidade de persistência silenciosa em endpoints corporativos
• Integração com cadeias de ataque maiores (stealers, loaders, ransomware)

O STX RAT não é, isoladamente, uma ferramenta de alta sofisticação. No entanto, seu uso em campanhas oportunistas e sua capacidade de fornecer acesso contínuo ao ambiente comprometido o tornam um multiplicador de risco, frequentemente atuando como estágio intermediário para ataques mais destrutivos. Do ponto de vista de negócio, os principais impactos incluem:

• Exfiltração de dados sensíveis (credenciais, documentos, sessões)
• Comprometimento prolongado sem detecção
• Uso como ponto de apoio para ransomware
• Exposição regulatória (LGPD) e dano reputacional

A Evolução

O STX RAT se insere no ecossistema consolidado de RATs baseados em .NET, ao lado de famílias como AsyncRAT e QuasarRAT. Essas ferramentas compartilham características comuns:

• Código relativamente acessível
• Facilidade de customização
• Interfaces de controle amigáveis
• Distribuição via fóruns underground e canais fechados

Em 2025, cabe destacar que houve uma convergência entre três categorias de malware:

• RATs tradicionais (controle remoto)
• Infostealers (exfiltração rápida de dados)
• Loaders (entrega de payloads adicionais)

O STX RAT acompanha essa tendência ao oferecer:

• Capacidades de coleta de dados
• Execução remota de comandos
• Flexibilidade para integração com outros payloads

O STX segue a tend6encia de Malware-as-a-Service (MaaS), um modelo de negocio criminoso onde deliquentes menos experientes conseguem conduzir campanhas eficazes com baixo investimento técnico.

3. Análise de Kill Chain

3.1 Vetores de entrada

O STX RAT é tipicamente distribuído por meio de vetores amplamente conhecidos, porém ainda eficazes:

• Campanhas de phishing com anexos maliciosos
• Arquivos compactados contendo executáveis disfarçados
• Arquivos ISO, LNK e loaders
• Software pirata, cracks e keygens
• Malvertising

A eficácia desses vetores depende fortemente de engenharia social, frequentemente adaptada ao idioma e contexto regional, além de ser cada vez mais efetiva graças ao uso intensivo de IA.

3.2 Execução inicial

Após o acesso inicial:

• O usuário executa um loader ou dropper
• O payload é descompactado ou injetado em memória
• Pode haver uso de LOLBins (ex.: PowerShell) para execução indireta

3.3 Persistência

O STX RAT estabelece persistência utilizando:

• Chaves de registro (Run/RunOnce)
• Tarefas agendadas
• Cópias em diretórios persistentes do sistema

Essa persistência é projetada para se manter a reinicializações e ofuscar as ações de ferramentas, analistas e .

3.4 Expansão e pós-exploração

Embora não seja um framework completo, que inclua o movimento lateral, o acesso fornecido permite:

• Execução de ferramentas adicionais
• Download de payloads secundários
• Movimentação manual por operadores

4. Arquitetura Técnica do STX RAT

O STX RAT, por suas características de desenvolvimento, possui:

• Portabilidade
• Ofuscação
• Rápido desenvolvimento

4.1. Capacidades principais:

• Keylogging
• Captura de tela
• Gerenciamento de arquivos
• Execução remota de comandos
• Monitoramento do sistema

A comunicação entre cliente e servidor permite controle quase em tempo real.

5. Evasão

O STX RAT emprega técnicas comuns, porém eficazes:

5.1. Ofuscação

• Proteção de strings
• Packing do binário

5.2. Evasão de análise

• Detecção de ambiente virtual
• Delay de execução
• Verificação de sandbox

5.3. Evasão de defesa

• Uso de LOLBins
• Execução em memória (parcial)
• Possível bypass de mecanismos como AMSI

O objetivo não é invisibilidade total, mas reduzir a probabilidade de detecção automática.

6. Comando e Controle (C2)

A comunicação C2 geralmente utiliza:

• HTTP/HTTPS
• Portas customizadas
• Comunicação periódica (beaconing)

6.1. Características:

• Uso de VPS de baixo custo
• Rotação de IPs/domínios
• Infraestrutura descartável

Essa arquitetura favorece:

• Resiliência operacional
• Dificuldade de bloqueio completo

7. Impacto na América Latina

A América Latina apresenta condições favoráveis para disseminação do malware:

• Alta taxa de uso de software não licenciado
• Menor maturidade em segurança em PMEs
• Forte uso e eficácia de engenharia social

Setores frequentemente impactados:

• Financeiro
• Governo
• Pequenas e médias empresas

Campanhas costumam explorar:

• Idioma local (português ou espanhol)
• Temas como boletos, impostos, entregas e serviços bancários são os mais frequentes.

8. Técnicas, Táticas e procedimentos (TTPs)

O comportamento do STX RAT pode ser mapeado em diversas táticas:

a) Initial Access

• Phishing (T1566)

b) Execution

• User Execution (T1204)
• PowerShell (T1059.001)

c) Persistence

• Registry Run Keys (T1547.001)
• Scheduled Tasks (T1053)

d) Defense Evasion

• Obfuscated Files (T1027)
• Virtualization/Sandbox Evasion (T1497)

e) Command & Control

• Application Layer Protocol (T1071)

f) Exfiltration

• Exfiltration Over C2 Channel (T1041)

9. Estratégias de Detecção e Defesa

9.1. Controles técnicos

• EDR/XDR com análise comportamental
• Monitoramento de rede
• Detecção de anomalias

9.2. Hardening

• Bloqueio de macros
• Controle de execução de scripts
• Princípio do menor privilégio

9.3. Conscientização dos Usuários

• Treinamento contínuo contra phishing

 

Os ataques de ransomware estão longe de desacelerar. No último ano, foram registradas 11.796 vítimas diretas desse tipo de ciberataque ao redor do mundo, 1,3 vítimas por hora, segundo dados do BTTng da Apura Cyber Intelligence, plataforma de inteligência em ameaças cibernéticas. O impacto vai além dos números: empresas paralisadas, serviços essenciais comprometidos e milhões de pessoas expostas a riscos iminentes.

A onda de ataques abrange qualquer empresa de todos os segmentos, desde a saúde até os serviços públicos. Em maio passado, a Ascension Healthcare, uma das maiores operadoras de saúde dos EUA, foi alvo de um ataque cibernético que comprometeu sistemas críticos, incluindo registros médicos e comunicação interna. Hospitais ficaram sem acesso a informações essenciais por semanas, forçando equipes a recorrerem a procedimentos manuais. “Isso gerou riscos reais, com erros relatados no Kansas e em Detroit, que poderiam ter resultado em graves consequências médicas”, explica Anchises Moraes, Especialista de Theat Intel da Apura.

A Ascension não divulgou oficialmente o grupo por trás do ataque, mas investigações apontam para o Black Basta. Sete dos vinte e cinco mil servidores foram comprometidos, e 5,6 milhões de indivíduos receberam notificações sobre o possível vazamento de dados.

No Brasil, a TOTVS foi alvo do grupo BlackByte, com relatos de que dados da empresa foram acessados. A companhia informou seus acionistas, garantindo a continuidade dos serviços, mas sem dissipar completamente a incerteza. Já a Sabesp sofreu um ataque do grupo RansomHouse, que não apenas roubou dados, mas também os publicou posteriormente.

O futuro dos ataques: alvos menores, impactos maiores

Se antes os criminosos miravam grandes corporações exigindo valores exorbitantes, a tendência é que ataques menores, porém em massa, ganhem força em todo o mundo, incluindo o Brasil. Pequenas e médias empresas se tornaram alvos fáceis, já que possuem menos recursos para segurança e maior propensão a pagar resgates. “Elas têm mais dificuldade em recuperar dados roubados ou encriptados, tornando-se presas ideais para esses criminosos”, alerta Anchises.

A Cyberint, empresa adquirida pela Check Point Software em agosto de 2024, detectou um aumento nas campanhas de phishing que utilizam técnicas de smishing (mensagens SMS maliciosas) e vishing (chamadas ou mensagens de voz fraudulentas) como vetores alternativos aos ataques por e-mail.

Segundo dados do relatório do Anti-Phishing Working Group – APWG 2024, as campanhas de vishing cresceram 442% no segundo trimestre do ano passado, e o smishing segue em expansão desde o começo da década. Ambos os tipos de ameaça exploram a confiança que os usuários depositam em seus dispositivos móveis, difíceis de proteger com ferramentas tradicionais de cibersegurança.

Por meio de chamadas que simulam ser de departamentos de suporte ou mensagens SMS que se passam por bancos, fornecedores ou executivos, os atacantes conseguem enganar as vítimas para obter credenciais ou instalar malware, e essas técnicas dificultam a detecção.

Principais alvos do smishing e do vishing

Os setores mais visados no mundo incluem SaaS/Webmail, redes sociais, finanças e varejo, segundo o mesmo relatório de phishing do AWPG. Dentro desse conjunto, o setor financeiro se destaca pelo valor dos dados que gerencia: obter acesso a contas bancárias representa um objetivo especialmente lucrativo para os criminosos.

Isso se comprova no Brasil, onde os principais golpes digitais apontados pela Febraban (Federação Brasileira de Bancos) entre setembro de 2024 e março de 2025, indicam o smishing em quinto lugar e crescendo:

. Clonagem ou troca de cartão (40%)

. Golpe do WhatsApp, em que alguém se faz passar por um conhecido solicitando dinheiro (28%)

. Falsa central de atendimento (26%)

. Golpe do Pix (16%)

. Golpe via SMS (11%)

Por sua vez, o varejo tornou-se um alvo prioritário devido ao crescimento do comércio eletrônico e à quantidade de informações pessoais que os clientes compartilham com as marcas. Essa realidade facilita campanhas de falsificação de identidade, nas quais os cibercriminosos se fazem passar por lojas legítimas. Além disso, geralmente reforçam a credibilidade desses ataques usando contas falsas em redes sociais ou plataformas de e-mail, aumentando assim a eficácia do golpe.

Os Estados Unidos continuam sendo o país mais visado por campanhas de smishing e vishing, seguidos de outras economias desenvolvidas. Embora as técnicas estejam em constante evolução, os alvos geográficos permanecem relativamente estáveis. Entre os incidentes mais relevantes, destaca-se o uso de vishing pelo grupo Scattered Spider, que conseguiu acessar redes corporativas no Reino Unido e nos Estados Unidos ao se passar por funcionários em chamadas para serviços de suporte. Em alguns casos, também recorreram ao SIM swapping, reforçando a identidade falsa com a ajuda de colaboradores internos em empresas de telecomunicações.

IA e mensageria em massa: dois facilitadores da fraude

O surgimento de ferramentas como o Xanthorox AI, uma plataforma de ciberataques baseada em inteligência artificial construída do zero, permitiu que os criminosos cibernéticos automatizassem e ampliassem campanhas de engenharia social. Paralelamente, serviços de mensageria como Textedly ou ClickSend, embora legais, podem ser utilizados com fins maliciosos para enviar mensagens SMS ou chamadas em massa a custos muito baixos.

A Check Point Software destaca que as estratégias de proteção devem se concentrar em detectar e bloquear o smishing e o vishing o mais cedo possível, com práticas como:

• Monitorar a dark web em busca de kits de phishing, domínios falsos e campanhas em redes como Telegram ou WhatsApp.
• Simular ataques com IA para avaliar a resposta do SOC (Centro de Operações de Segurança).
• Fortalecer a proteção de endpoints e limitar o acesso a dados sensíveis.
• Conscientizar os funcionários sobre a verificação de chamadas e SMS suspeitos.
• Eliminar credenciais desnecessárias em repositórios internos.
• Manter atualizadas as capacidades de detecção por engano (threat deception) com assinaturas e modelos comportamentais adaptados a ataques assistidos por IA e entradas multimodais (voz, imagem, código).

Para os especialistas da Check Point Software, a sofisticação e escalabilidade que a IA e os serviços de mensageria em massa proporcionam fazem com que o smishing e o vishing representem uma ameaça real para empresas e consumidores. A chave para conter essas campanhas está em se antecipar a elas por meio de tecnologia, vigilância contínua e treinamento constante.

 

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd é líder na proteção da confiança digital (digital trust), utilizando soluções de segurança cibernética com tecnologia de IA para proteger mais de 100.000 organizações em todo o mundo. Por meio de sua Plataforma Infinity e de um ecossistema aberto, a abordagem de prevenção em primeiro lugar da Check Point Software oferece eficácia de segurança líder do setor, reduzindo riscos. Empregando uma arquitetura de rede de malha (mesh) híbrida com SASE como núcleo, a Plataforma Infinity unifica o gerenciamento de ambientes locais, na nuvem e em ambientes de trabalho, oferecendo flexibilidade, simplicidade e escala para empresas e provedores de serviços.

©2025 Check Point Software Technologies Ltd. Todos os direitos reservados.

Se você já leu ou ouviu o termo “ataque cibernético” pode ter se perguntado como esse tipo de ataque acontece no mundo real e quais os reais impactos eles podem gerar, seja para as empresas que sofreram o golpe ou para as pessoas de maneira geral.

Recentemente, a Apura Cyber Intelligence apresentou seu relatório sobre o panorama da cibersegurança no mundo no último ano, em que aborda uma série de incidentes que aconteceram durante o ano. O relatório mostra como os criminosos realizaram tais ataques e quais foram as consequências para as empresas e indivíduos atingidos. Além disso, o relatório também abordou uma série de operações realizadas por autoridades contra grupos cibercriminosos.

Marco Romer, Coordenador de Reports na Apura, explica que, cada vez que um ataque é deflagrado, empresas de cibersegurança como a Apura estudam o caso para poder entender onde houve falhas e, assim, desenvolver técnicas mais refinadas que aumentem a efetividade das medidas de seguranças contra esses tipos de ataques.

Alguns incidentes no Brasil e no mundo

Em um dos acontecimentos mais importantes de 2024 no setor de tecnologia, a Snowflake, renomada empresa de computação em nuvem, enfrentou um grave vazamento de dados. A Mandiant, empresa de segurança pertencente ao Google, identificou que aproximadamente 165 clientes potenciais da Snowflake, incluindo a Pure Storage, a Neiman Marcus e a AT&T, foram alvo de uma campanha coordenada de exploração de credenciais roubadas. O caso foi agravado por falhas na implementação de medidas de segurança essenciais, como a adoção de autenticação multifatorial, e pela reutilização de senhas antigas.

“A investigação conduzida pela Mandiant, identificou que a ação comprometeu dados de aproximadamente 110 milhões de clientes apenas da AT&T, abrangendo praticamente toda a base de usuários da operadora. O volume de informações expostas demonstra a extensão e a gravidade do incidente, evidenciando o potencial de alcance de ataques cibernéticos bem-sucedidos”, explica Romer. “Fica claro também, que o ataque a uma única empresa, neste caso a Snowflake, pode atingir várias outras, demonstrando a necessidade de a segurança cibernética ser pensada e estruturada ao longo de toda a cadeia de suprimentos”, acrescenta.

Outro incidente ocorreu com a Ascension Healthcare, uma das principais operadoras de saúde dos EUA, que enfrentou um ataque de ransomware que paralisou suas operações clínicas. O episódio, detectado em maio, interrompeu serviços importantes, como registros médicos eletrônicos, forçando os hospitais a recorrerem a métodos manuais, como notas manuscritas, o que aumentou os riscos de erros médicos. Em um caso angustiante, um enfermeiro no Kansas quase cometeu um grave erro de dosagem devido à confusão causada pela falta dos sistemas eletrônicos.

No Brasil, uma onda de o golpe por SMS, também conhecido como “smishing”, se destacou pela velocidade e alcance. Criminosos exploraram mensagens SMS para enganar milhares de pessoas. Entre as principais modalidades de fraude,  só neste ano, centenas de sites falsos foram criados para enganar vítimas por meio de falsas notificações de encomendas, avisos de valores a receber e alertas de cassação da CNH encheram as caixas de entrada dos brasileiros. As mensagens continham links que levavam a sites fraudulentos, semelhantes a portais de empresas de logística e órgãos governamentais, induzindo as vítimas a pagar supostas taxas por meio de boleto ou pagamento instantâneo.

Os golpes por SMS continuam a representar uma séria ameaça à segurança digital dos brasileiros em 2025. Segundo pesquisa da Norton divulgada em março, 54% das tentativas de fraude no país foram feitas por SMS, sendo que 43% das pessoas que receberam essas mensagens acabaram caindo no golpe. Mais alarmante: 77% dessas vítimas sofreram prejuízos financeiros, com perdas que vão de R$ 1,2 mil a até R$ 40 mil. De acordo com a Febraban, o total de perdas financeiras causadas por golpes no Brasil saltou de R$ 8,6 bilhões, em 2023, para R$ 10,1 bilhões em 2024 — um crescimento de 17%.

“Conseguimos identificar com o auxílio de nossa ferramenta de inteligência de ameaças e técnicas de investigação em fontes abertas que mais de 300 domínios falsos foram usados apenas em campanhas que simulavam comunicações dos Correios, ampliando significativamente o alcance e o impacto dos golpes”, diz o coordenador.

Em abril de 2024, o sistema financeiro do Governo Federal, conhecido como SIAFI, foi alvo de um ousado esquema de desvio de recursos. Criminosos conseguiram alterar dados bancários de um fornecedor, desviando R$ 3,5 milhões do Ministério da Gestão e Inovação. Para isso, utilizaram técnicas como phishing e certificados digitais falsos, aproveitando-se de credenciais de servidores públicos.

Operações contra grupos de cibercriminosos

No caso do SIAFI, a investigação da Polícia Federal revelou um esquema criminoso que desviava recursos destinados ao pagamento dos salários de servidores públicos, utilizando contas de “laranjas” para ocultar as transações. Esses recursos eram posteriormente convertidos em criptomoedas através de exchanges e instituições de pagamento especializadas.

Durante a operação, foram cumpridos 19 mandados de busca e apreensão e três de prisão temporária em diversos estados, incluindo Minas Gerais, Bahia, Rio de Janeiro, São Paulo e o Distrito Federal. Em resposta ao ocorrido, o Tesouro Nacional, responsável pelo SIAFI, implementou medidas adicionais de segurança, como a autenticação com múltiplos fatores (MFA) para usuários autorizados, visando reforçar a proteção do sistema e prevenir futuros incidentes.

Outras ações bem sucedidas implementadas pelas autoridades com a colaboração de empresas de cibersegurança foram realizadas em 2024. Operações nacionais e internacionais contra o cibercrime tiveram como foco o combate a grupos de ransomware e a grupos especializados em ataques DDoS.

A “Operação Cronos”, por exemplo, marcou um ponto de virada na luta contra o grupo LockBit, temido por sua série de ataques de ransomware desde 2019. As forças da lei dos EUA, do Reino Unido e da União Europeia conseguiram apreender domínios e revelar a identidade do líder do grupo, Dmitry Yuryevich Khoroshev. Vários afiliados foram presos, e a operação demonstrou a colaboração global necessária para combater o cibercrime.

Simultaneamente, a “Operação PowerOFF” desmantelou 27 serviços de aluguel de ataques DDoS em uma ação coordenada entre 15 países. Além de remover plataformas online usadas para fins maliciosos, a operação prendeu indivíduos-chave e responsabilizou centenas de usuários.

Outra vitória significativa ocorreu com a “Operação Magnus”, que focou nos malwares Redline e Meta Infostealer, dois dos mais utilizados para roubo de informações pessoais em todo o mundo. A polícia holandesa e o FBI apreenderam servidores e emitiram alertas globais, culminando na acusação do desenvolvedor russo Maxim Rudometov.

“As operações realizadas em 2024 reforçam a importância da cooperação internacional na luta contra o cibercrime, não só entre as nações, mas também do setor público com o privado. Se os criminosos evoluem em ousadia e táticas a cada ano, as forças da lei estão sempre empenhadas em provar que é só uma questão de tempo até que estes criminosos sejam inevitavelmente levados a encarar a justiça e a pagar por seus crimes”, ressalta Romer.

Sobre a Apura Cyber Intelligence, acesse: https://apura.com.br/

Em um dos painéis mais aguardados do Cyber Security Summit 2025, o especialista Yuri Diógenes, PhD em Cybersecurity, professor da Universidade do Texas em Dallas e líder global de ciberdefesa na Microsoft, encerrou o evento com uma palestra contundente sobre o novo cenário dos conflitos internacionais. Sob o tema “Quando as Fronteiras Ficam Nebulosas: Ciberataques de Estados-Nação em Conflitos Modernos”, o especialista mostrou como o ciberespaço se consolidou como o quinto domínio da guerra moderna — ao lado da terra, do ar, do mar e do espaço — e advertiu que empresas e governos já estão sendo afetados diretamente por esse tipo de ataque.

“Quando há um embate entre Estados, o primeiro ataque não é mais militar, é cibernético. Ele vem em forma de campanhas de desinformação, ataques distribuídos e sabotagem digital. O ciberespaço se tornou a nova linha de frente dos conflitos modernos”, afirmou Diógenes.

Segundo levantamento da Microsoft apresentado durante a palestra, uma em cada três infraestruturas críticas no mundo já foi alvo de ataques conduzidos por grupos vinculados a Estados-nação. Desde 2020, o número desses incidentes cresceu mais de 200%, impulsionado por tensões políticas e disputas regionais. O especialista destacou que o Brasil também pode sofrer efeitos colaterais de ofensivas direcionadas a outros países, especialmente em cadeias globais de suprimento.

Ao apresentar exemplos da guerra Rússia-Ucrânia e de ataques recentes no Oriente Médio, Diógenes mostrou que os ataques digitais tornaram-se o primeiro passo das ofensivas militares. “Antes de tanques cruzarem fronteiras, já vemos ofensivas cibernéticas contra infraestruturas críticas e sistemas de defesa. É um playbook de guerra que combina poder cibernético e força cinética”, explicou.

Ele lembrou ainda que setores privados também são alvos frequentes, mesmo fora das zonas de conflito. “Quando um provedor de soluções é comprometido, todas as organizações que confiam naquela cadeia são vítimas em potencial. A infiltração em um elo estratégico pode causar efeitos em cascata na economia global”, destacou.

IA e desinformação: a nova face dos ataques

O pesquisador também alertou para o uso crescente da inteligência artificial (IA) em campanhas de desinformação e manipulação social. De acordo com ele, entre janeiro de 2024 e outubro de 2025 houve um crescimento exponencial de ataques que utilizam IA em alguma etapa da operação. “A IA vem sendo usada para criar desinformação em massa, explorando fontes que parecem confiáveis, veículos de comunicação, personalidades e até familiares. O resultado é um caos informacional difícil de conter”, afirmou.

Entre os exemplos citados, estão deepfakes hiper-realistas, clonagem de vozes e manipulação de vídeos e áudios para fraudes e disseminação de fake news. “O cidadão comum não tem ferramentas para diferenciar o real do falso. Isso aumenta a vulnerabilidade social e política das democracias”, alertou.

Ao encerrar sua apresentação, Diógenes reforçou que o risco cibernético é, hoje, uma extensão do risco geopolítico e da competitividade nacional, exigindo uma mudança na postura das lideranças empresariais. “Gerenciar risco cibernético é gerenciar a competitividade nacional. O que acontece na Europa ou no Oriente Médio pode afetar diretamente o mercado brasileiro. As empresas precisam estar preparadas para impactos indiretos e colaterais”, afirmou.

Para o especialista, o caminho passa por três pilares: visibilidade, colaboração e mentalidade estratégica. “Segurança não pode ser apenas um tema operacional. Precisa estar na mesa de decisão executiva. Quando os conflitos se espalham para o ciberespaço, a preparação define a resiliência”, concluiu.​

Os conflitos contemporâneos deixaram de se restringir ao campo físico para se expandirem ao ciberespaço, onde a informação se torna arma, recurso estratégico e terreno de disputa. Este artigo busca analisar como os diferentes tipos de sociedades e as teorias sobre comunicação moldam a compreensão das operações de informação, destacando a centralidade do meio digital e o impacto da guerra cognitiva.

A evolução da humanidade, marcada por transformações profundas nas estruturas sociais e tecnológicas, redefine continuamente a natureza dos conflitos. Se a Sociedade Industrial moldou guerras de larga escala e confrontos frontais, a transição para a Sociedade da Informação e, mais recentemente, a Sociedade em Rede e a Sociedade do Conhecimento, transferiu o campo de batalha para um novo domínio: o ciberespaço.

A Revolução da Informação não apenas acelerou o fluxo de dados, mas também reestruturou o poder, tornando a informação uma arma estratégica. Nesse contexto, os meios de comunicação de massa, que em tempos passados eram vistos como ferramentas de propaganda unilateral — um conceito ecoado na Teoria da agulha hipodérmica (ou Teoria da bala mágica) —, agora operam em um ecossistema complexo e interconectado. Esta teoria, que postulava que a mídia inoculava ideias diretamente na mente de uma audiência passiva, é insuficiente para descrever o ambiente de hoje, onde a informação flui em múltiplas direções e a influência é sutil, dispersa e multifacetada.

A Gestão do Conhecimento e a Guerra Cognitiva emergem como disciplinas essenciais. Não se trata apenas de controlar a informação, mas de moldar a percepção e o entendimento do inimigo, da população e das próprias forças. O sociólogo Manuel Castells, em sua visão sobre as sociedades e a guerra cognitiva, reforça o estatuto de ameaça com que não poucos governos percebem a presença da rede de redes. Para ele, as redes sociais, embora não sejam a causa original da polarização, a amplificam e reforçam de maneira extraordinária, criando um desafio regulatório para os governos que buscam controlar a livre expressão e o protesto.

A natureza dos conflitos contemporâneos, cada vez mais assimétricos e irregulares, é um tema central na obra de diversos autores. Em “Guerra irregular: Terrorismo, guerrilha e movimentos de resistência ao longo da história”, Alessandro Visacro demonstra como os confrontos modernos se afastaram das guerras convencionais entre estados, adotando táticas de terrorismo, guerrilha e resistência. A complementaridade de sua obra “A Guerra na era da informação” ressalta como as novas tecnologias de comunicação e os ataques cibernéticos se tornaram parte integrante do arsenal de atores estatais e não estatais, tornando a fronteira entre guerra e paz cada vez mais tênue.

Nesse cenário, as operações de informação ganham uma importância sem precedentes, misturando capacidades como inteligência, guerra cibernética, guerra eletrônica e operações psicológicas. O Coronel Márcio Saldanha Walker, em seu livro “Operações de Informação: Névoa de Conceitos”, explora a dificuldade de se estabelecer uma compreensão clara sobre esse novo domínio. A “névoa de conceitos” que envolve as operações de informação reflete a natureza multidimensional e intangível da guerra no ciberespaço, onde a distinção entre paz e guerra, ataque e defesa, é frequentemente borrada.

A guerra moderna não é mais travada apenas no ar, na terra ou no mar, mas também na dimensão informacional, no seio da sociedade em rede. O conceito de “multidão”, explorado por Michael Hardt e Antonio Negri em “Multidão: Guerra e democracia na era do Império”, oferece uma perspectiva sobre como a resistência e a guerra não dependem mais de estruturas hierárquicas, mas de redes descentralizadas. No ciberespaço, a multidão pode ser tanto uma força de resistência democrática quanto um ator em conflitos irregulares, utilizando a conectividade global para se organizar e disseminar sua mensagem, desafiando a hegemonia e o controle estatal.

A trajetória da sociedade industrial à sociedade do conhecimento revela que a informação deixou de ser mero suporte para se tornar elemento central do poder. No ciberespaço, operações de informação não apenas acompanham os conflitos, mas os definem. As redes, como alerta Castells, são vistas como ameaças por governos justamente porque desestabilizam estruturas tradicionais de controle. No cenário atual, compreender a guerra cognitiva e os mecanismos de influência informacional é indispensável para a segurança nacional, a soberania e a liberdade das sociedades em rede.

A compreensão dos conflitos atuais exige uma análise que vá além dos métodos tradicionais de guerra. As operações de informação no ciberespaço são a manifestação da evolução social e tecnológica, onde a capacidade de influenciar, desinformar e manipular a percepção é tão vital quanto o poder de fogo. O futuro dos conflitos será cada vez mais definido pela supremacia informacional.

Referências

Guedes, R. (s.d.). Sociedades da informação e do conhecimento. DCiber.org. Recuperado de https://dciber.org/sociedades-da-informacao-e-ao-conhecimento/.

Castells, M. (2005). A sociedade em rede (Vol. 1, No. 6). São Paulo: Paz e terra.

Hardt, M.; Negri, A.; Marques, C. Multidão: Guerra e Democracia na Era do Império. Rio de Janeiro: Record, 2005.

Visacro, A. (2018). A guerra na era da informação. Editora Contexto.

Visacro, A. (2015). Guerra irregular: terrorismo, guerrilha e movimentos de resistência ao longo da história. Editora Contexto.

Walker, M. (2024). Operações de informação: névoa de conceitos. Viseu.

Nos últimos anos, o cenário de ameaças cibernéticas tem se tornado mais dinâmico, tanto em relação a novos crimes cibernéticos, quanto à complexidade de sua execução. Apesar dessas mudanças, uma aspecto não mudou tanto, de acordo com relatórios recentes (Verizon DBIR 2024, ENISA Threat Landscape 2024, FBI IC3 2024, CERT.br), as campanhas de engenharia social continuam entre as mais prevalentes, representando entre 25% e 35% de todos os incidentes reportados.

Phishing, Business Email Compromise (BEC), golpes de investimento e fraudes em e-commerce não apenas dominam as estatísticas de ocorrência, como também lideram em termos de prejuízos financeiros. Em paralelo, ameaças como ransomware, uso de credenciais roubadas e ataques à cadeia de suprimentos compõem um cenário de alto risco para organizações de todos os portes, especialmente as Pequenas e Médias Empresas (PMEs), que muitas vezes carecem de equipes de segurança preparadas e dedicadas.

Para compreender como os cibercriminosos estruturam seus ataques, é útil mapear suas estratégias no modelo Cyber Kill Chain, originalmente desenvolvido pela Lockheed Martin.

1. Reconhecimento (Reconnaissance)

Os atacantes coletam informações sobre suas vítimas antes de iniciar a ofensiva.

• Táticas observadas: pesquisa em redes sociais para identificar cargos financeiros (alvo de BEC), coleta de e-mails corporativos em diretórios públicos, análise de hábitos de consumo online para fraudes de e-commerce.
• Estratégia: aumentar a precisão da abordagem de engenharia social, tornando a comunicação mais convincente.

2. Armazenamento (Weaponization)

O criminoso cria a isca do ataque.

• Táticas: elaboração de e-mails de phishing com logos corporativos falsos, criação de páginas clonadas, uso de malwares leves (infostealers) embarcados em arquivos, normalmente no formato PDFs.
• Estratégia: preparar conteúdos que passam despercebidos por proteções básicas ou mal configuradas de e-mail e antivírus.

3. Entrega (Delivery)

A isca foi lançada e chega até a vítima.

• Táticas: envio massivo de e-mails, mensagens SMS (“smishing”), ligações telefônicas (“vishing”), anúncios maliciosos em redes sociais.
• Estratégia: maximizar alcance e explorar a pressa/curiosidade do usuário.

4. Exploração (Exploitation)

A vítima interage com a isca.

• Táticas: Clique em links de phishing, inserção de credenciais em páginas falsas, execução de anexos infectados, resposta a pretextos financeiros (transferências).
• Estratégia: Induzir a vítima a executar uma ação sem verificar a autenticidade.

5. Instalação (Installation)

O atacante estabelece presença no dispositivo ou sistema.

• Táticas: instalação de trojans bancários, backdoors, ou criação de contas falsas em sistemas corporativos.
• Estratégia: garantir persistência e acesso contínuo ao ambiente alvo.

6. Comando e Controle (C2)

O criminoso se comunica com o sistema comprometido.

• Táticas: uso de servidores remotos para exfiltrar dados, comunicação por protocolos comuns (HTTPS/DNS) para evitar detecção.
• Estratégia: manter controle oculto e discreto, dificultando a análise forense.

7. Ações sobre o Objetivo (Actions on Objectives)

O atacante realiza o objetivo final.

• Táticas:
  • Fraudes financeiras (BEC, golpes de investimento).
  • Roubo de credenciais para venda em mercados clandestinos.
  • Criptografia de sistemas com ransomware.
  • Exfiltração de dados para extorsão.
• Estratégia: monetizar o ataque rapidamente ou ampliar o impacto para extorsão futura.

“O modelo é muito útil, mas o Cyber Kill Chain tem limitações, particularmente quando pensamos nas movimentações laterais ou persistência avançada. Todavia, possui grandes virtudes, como a facilidade em reconstruir as ações do incidentes, o que auxilia na identificação da causa raiz e colabora muito para organizar ações de proteção e mitigação. Deve estar na cabeça de todo integrante da Equipe de Tratamento e Resposta a Incidentes” comentou Augusto Barros, Diretor de Inteligência do IDCiber.

A partir das observações apresentadas em cada etapa, percebe-se que muitas etapas da kill chain exploram fatores humanos, medidas de conscientização e processos simples têm enorme impacto:

• Treinamentos regulares contra phishing e simulações internas, para reduzir cliques em links maliciosos.
• Políticas de dupla verificação em transferências financeiras para mitigar fraudes BEC.
• Campanhas de conscientização sobre golpes de investimento e romance, alertando colaboradores para sinais de fraude.
• Uso de autenticação multifator robusta, de preferência com tokens físicos, para reduzir comprometimento de credenciais.
• Backups testados e segmentados, prevenindo perdas críticas e favorecendo a recuperação pós-incidente.

A análise estatística mostra que a engenharia social permanece o vetor mais explorado pelos atacantes em 2024, não apenas pela simplicidade técnica, mas pelo alto índice de sucesso em contextos corporativos e até mesmo com pessoas físicas.

Ao mapear os golpes virtuais no Cyber Kill Chain, fica claro que a etapa crítica está entre o reconhecimento e a exploração, onde a manipulação psicológica encontra brechas na rotina e na cultura organizacional.

Para PMEs, investir em conscientização, cultura cibernética e políticas de validação de processos é, hoje, a forma mais custo-efetiva de reduzir o risco cibernético e proteger ativos críticos.

 

A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.

Alvos: Especialistas e Acadêmicos de Prestígio

De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.

Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.

Phishing Personalizado e Engenharia Social Avançada

Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.

Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.

Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.

Infraestrutura Robusta e Expansão da Campanha

A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.

Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.

Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.

Ameaça Persistente e Alerta Global

Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.

“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.

Indicadores de Comprometimento (IOCs)

A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.

Entre os principais IOCs identificados estão:

Endereços IP:

• 185.130.226[.]71

• 45.12.2[.]158

• 45.143.166[.]230

• 91.222.173[.]141

• 194.11.226[.]9

Domínios Notórios:

• sendly-ink[.]shop

• idea-home[.]online

• live-meet[.]info

• bestshopu[.]online

• live-message[.]online

A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.

Conclusão

O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.

Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.

Um ataque cibernético supostamente realizado pelo grupo “Lip Stitchers” comprometeu a rede de comunicação de 116 navios pertencentes à República Islâmica do Irã, segundo informações exclusivas obtidas pela Iran International. As embarcações afetadas estariam ligadas às empresas estatais National Iranian Tanker Company (NITC) e Islamic Republic of Iran Shipping Company (IRISL) — ambas sancionadas por Estados Unidos, Reino Unido e União Europeia por seu envolvimento em operações logísticas estratégicas e, segundo acusações, apoio a grupos como os houthis no Iêmen.

O grupo hacker declarou que sua ofensiva teve como objetivo “cegar o regime iraniano em um momento crítico de ataques militares americanos contra posições houthis”. Segundo o comunicado, 50 navios da NITC e 66 da IRISL foram isolados, perdendo a capacidade de se comunicar com portos, outras embarcações e centros de comando em terra. Ainda de acordo com os hackers, o restabelecimento total dessas redes pode levar semanas, forçando as embarcações a recorrerem a meios limitados e alternativos de comunicação.

O ataque coincide com o sexto aniversário de atuação do Lip Stitchers, marcado pela inauguração de uma nova página no Telegram. O grupo — já conhecido por revelar dados sobre a Guarda Revolucionária Iraniana e sua unidade cibernética — afirma ter apoio de insiders dentro do próprio governo iraniano.

Cegueira Tática no Mar

Ao comprometer a conectividade de 50 navios da National Iranian Tanker Company (NITC) e 66 da Islamic Republic of Iran Shipping Line (IRISL), o grupo Lip Stitchers impôs um blackout operacional em plena zona cinzenta das tensões no Oriente Médio. A ausência de conectividade em embarcações comerciais e militares modernas não representa apenas a perda de comunicação, mas um colapso da visibilidade tática e da sincronização logística.

Em ambientes marítimos, a comunicação satelital via VSAT, AIS, rádio VHF/HF e canais criptografados é vital não só para a navegação e coordenação, mas para o mascaramento de operações clandestinas, como o transporte de armas para os houthis no Iêmen, como denunciado. Ao isolar os navios, os atacantes não apenas desorganizam o fluxo de exportações de petróleo iraniano, mas também interrompem potenciais corredores de suprimento para grupos aliados do regime.

Sistemas de comunicação sob ataque

Apesar da escassez de informações públicas detalhadas sobre a arquitetura das redes de comunicação dos navios iranianos, sabe-se que as embarcações da NITC e da IRISL operam com um complexo sistema híbrido, que combina:

1. Comunicações via satélite (VSAT): tecnologia fundamental para navegação e troca de dados em alto-mar, especialmente em missões estratégicas. Acredita-se que o Irã use satélites nacionais e parcerias com países como Rússia e China para blindar comunicações críticas.
2. Radiocomunicações VHF e HF: ainda amplamente utilizadas para comunicação de curta distância, especialmente entre navios e portos próximos nas rotas do Golfo Pérsico, Mar Mediterrâneo e Sudeste Asiático.
3. Redes criptográficas militares: presentes em embarcações controladas pela Guarda Revolucionária (IRGC) e em petroleiros envolvidos em missões sensíveis, como evasão de sanções ou transporte de armamentos. Essas redes são projetadas para resistir a interceptações e ataques, mas também têm sido alvo de ciberataques sofisticados.

Comunicações como Alvo Estratégico

A NITC, com seus mais de 46 superpetroleiros e capacidade superior a 15 milhões de toneladas, opera como artéria principal das exportações iranianas. Esses navios frequentemente desligam seus sistemas de rastreamento AIS para driblar sanções internacionais e ocultar rotas em águas internacionais como tática para burlar sanções e dificultar a vigilância internacional, o que torna suas comunicações criptografadas e satelitais ainda mais críticas. Ao cortar esse elo, o grupo expõe a fragilidade de uma estrutura de comando e controle marítimo que depende de uma mescla de soluções legadas, tecnologias de parceiros como Rússia e China, e sistemas proprietários potencialmente inseguros.

A vulnerabilidade dessas redes – acentuada por restrições tecnológicas impostas por sanções e pela presença de hardware não auditado – faz delas alvos altamente viáveis para grupos sofisticados com conhecimento interno, como sugerido pelo Lip Stitchers.

A National Iranian Tanker Company comanda a maior frota de petroleiros do Oriente Médio, composta por mais de 46 navios-tanque com capacidade combinada superior a 15 milhões de toneladas. Essas embarcações são peças-chave na logística de exportação do petróleo iraniano — uma das principais fontes de receita do regime.

 

Guerra Cibernética Não-Estatal

O que torna essa operação emblemática é sua natureza transnacional, com motivação ideológica e possível colaboração interna, como afirmou o grupo em seu canal no Telegram. Não se trata apenas de um ato de protesto digital, mas de uma operação com timing geopolítico calculado: ocorreu durante ataques americanos contra posições houthis, potencializando seu efeito estratégico e midiático.

O impacto é amplificado pelo fato de que, no ciberespaço, atores não-estatais podem atingir Estados-nação com uma eficácia antes exclusiva das grandes potências. E no caso do Irã, que já enfrentava pressão econômica e militar, o colapso parcial de sua frota de transporte energético representa um enfraquecimento sensível de sua capacidade de projeção regional.

Vulnerabilidades e sanções

As crescentes sanções internacionais têm restringido o acesso do Irã a tecnologias de ponta, limitando atualizações críticas em suas redes navais e sistemas de comunicação. Após episódios de comprometimento de comunicações do Hezbollah em 2024, o próprio IRGC iniciou inspeções de segurança nos equipamentos utilizados por embarcações civis e militares.

A recente ofensiva do grupo Lip Stitchers indica que, apesar das medidas defensivas do regime, vulnerabilidades persistem — especialmente na camada cibernética que sustenta a capacidade logística naval iraniana. Com os navios afetados temporariamente isolados e operando sob risco elevado, o episódio acende um alerta sobre o crescente papel da guerra cibernética nas disputas geopolíticas do Oriente Médio.

Considerações

O ataque do Lip Stitchers é um alerta global. Ele demonstra que, na era da conectividade ubíqua, a superfície de ataque se estende até os mares. A maritimização do ciberconflito amplia o domínio de operações para além de redes terrestres e satélites, introduzindo um novo tipo de guerra naval silenciosa: não feita com torpedos, mas com pacotes de dados.

Para estrategistas e decisores, este episódio reforça a urgência de:

• Modernizar redes de comunicação embarcadas com foco em resiliência e segmentação;

• Implementar Zero Trust Marítimo, com autenticação e monitoramento contínuos;

• Investir em inteligência cibernética naval preventiva, integrando informações de threat hunting com geopolítica;

• Avaliar continuamente a cadeia de suprimentos cibernética dos sistemas embarcados, inclusive nos componentes adquiridos de parceiros estatais.

O mar, outrora refúgio para operações clandestinas, agora é palco de uma nova corrida armamentista digital. E quem controlar os dados das águas, controlará o destino das nações que por elas navegam.