Cibercriminosos do grupo Velvet Tempest estão usando anúncios maliciosos e um falso pop-up de verificação para obter acesso inicial a redes corporativas, segundo relato publicado em 12 de abril de 2026. O caso foi descrito a partir da observação de 12 dias de atividade em um ambiente monitorado que simulava uma organização sem fins lucrativos dos Estados Unidos com mais de 3.000 computadores, mostrando como o ataque começa, evolui e pode abrir caminho para a instalação de malwares.
De acordo com informações do TecMundo, o alerta original havia sido publicado em março pela empresa de cibersegurança MalBeacon. A análise aponta que, após o acesso inicial, operadores humanos assumiram o controle da rede e passaram a executar etapas de reconhecimento e implantação de ferramentas maliciosas.
Quem é o grupo Velvet Tempest e como ele atua?
O Velvet Tempest, também identificado como DEV-0504, é descrito como um grupo com pelo menos cinco anos de atividade no ecossistema criminoso de ransomware. Nesse tipo de crime, softwares maliciosos cifram arquivos de uma organização e exigem pagamento para devolver o acesso.
Segundo o texto, o grupo não desenvolve o ransomware do zero, mas atua como afiliado. Nesse modelo, criminosos usam ferramentas criadas por outros desenvolvedores e ficam com parte do valor obtido em resgates. O Velvet Tempest já teria deixado rastros em campanhas associadas a Ryuk, REvil, Conti, BlackCat/ALPHV, LockBit e RansomHub.
Como o ataque começa com anúncios falsos e CAPTCHA enganoso?
A porta de entrada do ataque é o malvertising, técnica em que criminosos pagam por anúncios online que levam a vítima a uma página falsa. Nessa etapa, a pessoa não precisa adotar um comportamento incomum: a armadilha é apresentada como se fosse uma verificação rotineira.
A página combina duas camadas de engano. A primeira é um falso CAPTCHA. A segunda é a técnica conhecida como ClickFix, que orienta a vítima a abrir a janela Executar do Windows e colar um comando que já foi copiado automaticamente para a área de transferência. Ao fazer isso, o usuário executa código malicioso no próprio computador sem perceber.
- Anúncio malicioso leva a uma página falsa
- Página exibe um CAPTCHA fraudulento
- Vítima é instruída a abrir o Windows Run
- Comando malicioso é colado e executado
Como os criminosos evitam a detecção dentro do Windows?
O comando usado no ataque é ofuscado, ou seja, escrito de forma intencionalmente difícil de interpretar. A execução aciona uma cadeia de processos com ferramentas legítimas do próprio Windows, em uma estratégia chamada Living off the Land. A lógica, segundo a reportagem, é reduzir as chances de detecção por softwares de segurança.
Uma das ferramentas exploradas é o finger.exe, um utilitário antigo do Windows. Por ser raramente monitorado, ele foi usado para baixar os primeiros loaders, programas cuja função é buscar e executar malwares mais complexos. Um dos arquivos baixados era um arquivo compactado disfarçado de PDF.
O que acontece depois que a rede é invadida?
Após o acesso inicial, operadores humanos passam a conduzir a intrusão diretamente, no modelo conhecido no setor como hands-on keyboard. Isso permite adaptação em tempo real a obstáculos e maior capacidade de movimentação dentro do ambiente comprometido.
Dentro da rede, o grupo fez reconhecimento do Active Directory, sistema da Microsoft usado para gerenciar usuários, computadores e permissões em redes corporativas. Esse mapeamento ajuda a identificar contas mais privilegiadas e possíveis caminhos para avançar no ambiente.
Os invasores também utilizaram um script em PowerShell para roubar senhas salvas no navegador Google Chrome. Esse script, ainda segundo a apuração relatada, estava hospedado em um endereço IP associado por pesquisadores à infraestrutura do ransomware Termite, o que sugere compartilhamento de ferramentas e estrutura entre grupos criminosos.
Quais malwares foram implantados e qual era o objetivo final?
Nos estágios finais da intrusão, foram implantados dois programas maliciosos: o DonutLoader e o CastleRAT. O primeiro é descrito como um loader capaz de injetar código diretamente na memória dos processos em execução, técnica conhecida como fileless, ou sem arquivo, o que dificulta a detecção por ferramentas tradicionais.
O segundo, CastleRAT, é um trojan de acesso remoto que permite controlar o computador da vítima à distância, visualizar a tela, executar comandos, transferir arquivos e capturar o que é digitado. Para manter a persistência após reinicializações, componentes baseados em Python foram instalados na pasta C:\ProgramData, diretório normalmente usado por aplicativos legítimos.
De acordo com a análise citada pela reportagem, o modelo habitual do Velvet Tempest envolve dupla extorsão: primeiro o roubo de dados e depois a cifragem dos sistemas. Nesta intrusão específica, porém, o ransomware Termite não chegou a ser implantado. Os pesquisadores da MalBeacon afirmaram não ter concluído se o ataque foi interrompido pela detecção ou se o grupo ainda estava na fase de reconhecimento antes de uma etapa final.
