Hackers mantiveram acesso ao e-mail de um executivo sênior de uma grande bolsa de valores global por cerca de 150 dias, entre outubro de 2025 e março de 2026. A operação de espionagem, investigada pela equipe de threat hunting da Broadcom (Symantec e Carbon Black), exfiltrou dados sensíveis de forma contínua usando Dropbox e OneDrive como canais de saída.
Como o ataque se desenrolou
Os primeiros sinais de atividade maliciosa foram detectados em 10 de outubro de 2025, quando malware já operava no host comprometido disfarçado como aplicativos legítimos da Adobe e do OneDrive. O vetor de acesso inicial permanece desconhecido. Em 12 de novembro, os atacantes estabeleceram canais de comando e controle e iniciaram a coleta e exfiltração de dados.
A operação permaneceu ativa até março de 2026, totalizando aproximadamente cinco meses de acesso ininterrupto à caixa de entrada Outlook do executivo. O objetivo foi identificado como espionagem — provavelmente a busca por informações privilegiadas sobre negociações, ações regulatórias e eventos com impacto no mercado financeiro.
Para um agente de espionagem, a caixa de e-mail de um executivo sênior é um alvo de alto valor. Um perfil Outlook pode revelar detalhes de negociações externas, deliberações internas, agenda, padrões de viagem e contatos — um retrato quase completo da vida profissional do alvo.
Persistência disfarçada
Os atacantes mantiveram acesso contínuo registrando tarefas agendadas no sistema operacional que se disfarçavam como serviços legítimos da Adobe, Lenovo e OneDrive. Essas tarefas eram re-registradas regularmente, garantindo que o malware fosse executado mesmo após reinicializações do sistema.
A estratégia de usar nomes de processos e serviços que mimetizam aplicativos legítimos dificultou a detecção por soluções de segurança convencionais, que tendem a ignorar processos com nomes familiares.
Exfiltração via nuvem
Para evitar levantar suspeitas, os atacantes usaram o Dropbox e o OneDrive como canais de exfiltração, transferindo arquivos em lotes pequenos ao longo dos cinco meses. A abordagem incremental permitiu que o roubo completo da caixa de entrada ocorresse sem disparar alertas de volume anômalo em ferramentas de segurança.
| Data | Evento |
|---|---|
| 10 de outubro de 2025 | Primeiros sinais de malware no host (Adobe/OneDrive falsos) |
| 12 de novembro de 2025 | Canais C&C estabelecidos; início da exfiltração |
| Novembro de 2025 a março de 2026 | Exfiltração contínua em lotes via Dropbox e OneDrive |
| Período total | Re-registro constante de tarefas agendadas para persistência |
| Março de 2026 | Fim do acesso; detecção pela equipe de threat hunting |
O caso guarda semelhanças com a operação Dragon Weave, que usou o Azure Blob Storage para espionagem, reforçando o padrão de grupos avançados que abusam de serviços em nuvem legítimos para exfiltração.
Proteção contra ataques similares
Monitore ativamente tarefas agendadas no Windows que usem nomes de processos da Adobe, Lenovo ou OneDrive mas apontem para caminhos de execução incomuns. Implemente alertas para registros repetidos de tarefas agendadas — um comportamento anômalo que indica persistência deliberada.
Configure regras de DLP (Data Loss Prevention) para detectar uploads incomuns para o Dropbox e OneDrive a partir de contas corporativas, especialmente de caixas de entrada de executivos. Limite o uso de armazenamento em nuvem pessoal em máquinas com acesso a informações privilegiadas.
Considere o uso de soluções de análise comportamental (UEBA) que identifiquem padrões de acesso anômalos em caixas de entrada de executivos, incluindo logins de localizações incomuns ou atividades de exportação fora do padrão. Como demonstrado em campanhas de APT como a do Gamaredon, a persistência em caixas de e-mail é uma tática recorrente de grupos de espionagem avançados.
Fontes
- SecurityWeek — Hackers Target Global Stock Exchange
- Rescana — Cyber Espionage Attack on Stock Exchange
- Security Affairs — Cyber espionage campaign targeted stock exchange
O que observar agora
Para equipes de seguranca, o ponto principal em “Espionagem em bolsa: e-mail de executivo hackeado 150 dias” e transformar o alerta em verificacao objetiva. Antes de assumir impacto, vale confirmar ativos expostos, versoes em uso, logs recentes e dependencias que possam ampliar o risco. Esse processo reduz ruido, evita pânico e ajuda a priorizar o que realmente precisa de resposta imediata.
Tambem e importante registrar evidencias. Guarde indicadores, horarios, sistemas afetados e decisoes tomadas durante a triagem. Mesmo quando o caso nao evolui para incidente, essa disciplina melhora a resposta futura e facilita explicar para lideranca por que uma acao foi tomada, adiada ou descartada.
Para acompanhar “Espionagem em bolsa: e-mail de executivo hackeado 150 dias” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.