A Proofpoint identificou uma atividade cibercriminosa sustentada e em evolução na América Latina, com o Brasil aparecendo de forma consistente como o principal alvo das operações monitoradas. Segundo a empresa, as campanhas são conduzidas pelo grupo TA2725, voltado principalmente ao ganho financeiro por meio da disseminação de malwares bancários e do roubo de credenciais. O levantamento foi divulgado em 15 de abril de 2026 e aponta o uso de engenharia social, ferramentas de acesso remoto e temas de grande apelo público para ampliar o alcance dos golpes. De acordo com informações do IT Forum, a consultoria afirma que o grupo demonstra familiaridade com o contexto brasileiro.
A empresa classifica o TA2725 como o ator de ameaça com o maior volume de atividade monitorado globalmente neste momento. Entre as ameaças mais frequentes atribuídas ao grupo estão o malware Astaroth, descrito como capaz de capturar pressionamentos de teclado e outros dados sensíveis, além de variantes como Metamorfo e Mispado. A Proofpoint também observou o ressurgimento pontual do trojan Grandoreiro, cuja atividade havia diminuído após ações policiais no início de 2024.
Como o grupo atua para comprometer usuários e empresas?
Embora a entrega tradicional de arquivos maliciosos ainda predomine, a pesquisa indica que o TA2725 passou a testar métodos mais sofisticados. Entre eles está o uso de ferramentas de monitoramento e gerenciamento remoto, conhecidas como RMM, como ScreenConnect e LogMeIn Resolve.
Segundo a análise, essas ferramentas administrativas legítimas permitem aos invasores manter acesso persistente aos ambientes comprometidos e operar de maneira mais discreta, o que pode dificultar a detecção por equipes de segurança. A tática mostra uma mudança de comportamento em relação a campanhas focadas apenas no envio de arquivos infectados.
- Disseminação de malwares bancários
- Roubo de credenciais de acesso
- Uso de ferramentas legítimas de acesso remoto
- Campanhas com engenharia social em português e espanhol
Quais iscas de engenharia social foram identificadas?
De acordo com a pesquisa, o grupo utiliza mensagens em português e espanhol que simulam comunicações de instituições bancárias, órgãos governamentais e serviços de compartilhamento de documentos. O objetivo é explorar o senso de urgência dos usuários para induzir cliques, downloads ou envio de informações sensíveis.
A Proofpoint também relatou o uso de eventos de grande visibilidade para potencializar golpes. Em uma campanha recente, cibercriminosos usaram a Copa do Mundo FIFA 2026 como isca para atingir usuários de criptomoedas. Os e-mails simulavam uma comunicação da carteira MetaMask e ofereciam “ingressos NFT gratuitos”, redirecionando as vítimas para sites fraudulentos voltados ao roubo de frases de recuperação e ao controle de ativos digitais.
O que a empresa diz sobre a evolução dessas campanhas?
Ao comentar o cenário, Marcos Nehme, country manager da Proofpoint no Brasil, afirmou:
“Estamos observando uma mudança clara em direção a métodos de entrega mais sofisticados e iscas mais oportunas”
Segundo o executivo, a adaptabilidade desses grupos reforça a necessidade de as organizações priorizarem a conscientização dos usuários em conjunto com camadas de proteção avançada. O quadro descrito pela empresa indica que a economia digital brasileira, pelo volume de usuários de internet banking, continua entre as prioridades do crime organizado.
O levantamento reforça que a vigilância sobre a autenticidade de mensagens, links e solicitações de credenciais permanece central para reduzir riscos. A avaliação da Proofpoint, reproduzida pelo IT Forum, descreve um ambiente em que campanhas maliciosas combinam conhecimento local, ferramentas legítimas e apelo a eventos globais para ampliar a efetividade dos ataques na região.
