A Kaspersky anunciou nesta semana a operação StrikeShark, uma campanha global que usa um loader de malware inédito, batizado de SharkLoader, para invadir governos e empresas de software na Ásia, Europa e América Latina. Os atacantes entram por treze vulnerabilidades antigas e já corrigidas em produtos da Microsoft, Fortinet, Cisco, F5 e Zimbra — todas com código de prova de conceito disponível publicamente, o que torna o ataque barato e acessível.
Resumo: o StrikeShark é uma campanha de espionagem digital, descrita em 24 de junho de 2026 pelo time GReAT da Kaspersky, que combina falhas conhecidas (algumas de 2016) com um loader novo e furtivo. O alvo preferencial são servidores expostos à internet e profissionais que instalam softwares fingindo ser Cisco AnyConnect ou Google Update. A Colômbia aparece entre os países atingidos, o que coloca a América Latina — e o Brasil — diretamente no mapa do ataque.
O que é o SharkLoader
SharkLoader é o nome dado pelo time GReAT ao loader de malware que dá sustentação à operação StrikeShark. Depois de instalado, ele emprega uma técnica chamada PerfectDLL Hijacking para driblar o bloqueio de carregamento do Windows, descriptografa módulos maliciosos e injeta o Cobalt Strike Beacon — uma ferramenta de teste de intrusão comercial e frequentemente desviada por grupos criminosos para manter acesso remoto, roubar credenciais e se movimentar dentro da rede.
Para se esconder, o loader disfarça seus componentes como arquivos comuns do sistema Windows, abusa de aplicativos legítimos para se carregar e desativa os logs de segurança de que os defensores dependem para detectar invasões. Os pesquisadores também identificaram o uso das bibliotecas Microsoft Detours e MinHook para instalar ganchos de API e burlar a varredura de memória.
Treze brechas antigas, uma porta aberta
O ponto mais preocupante do StrikeShark não é a sofisticação do malware, mas a preguiça das vítimas. A Kaspersky documentou treze falhas exploradas na fase inicial de acesso, e todas já têm correção há anos. Algumas são de 2016. Em todos os casos há código de prova de conceito publicado no GitHub, o que significa que qualquer atacante com tempo livre consegue reproduzir o golpe:
| Produto | Vulnerabilidade | Tipo | Ano |
|---|---|---|---|
| Microsoft Exchange | CVE-2021-26855 (ProxyLogon) | Execução remota | 2021 |
| Microsoft SharePoint | CVE-2021-27076 | Execução remota | 2021 |
| Microsoft Exchange | CVE-2022-41082 | Execução remota | 2022 |
| Apache Shiro | CVE-2016-4437 | Execução remota | 2016 |
| Hikvision | CVE-2021-36260 | Execução remota | 2021 |
| Zimbra | CVE-2022-27925 | Execução remota | 2022 |
| F5 BIG-IP | CVE-2023-46747 | Execução remota | 2023 |
| Fortinet FortiOS | CVE-2024-21762 | Execução remota | 2024 |
| React Server Components | CVE-2025-55182 | Execução remota | 2025 |
| Openfire | CVE-2023-32315 | Autenticação | 2023 |
| GeoServer | CVE-2024-36401 | Execução remota | 2024 |
| Fortinet FortiOS | CVE-2022-40684 | Bypass de auth | 2022 |
| Cisco IOS XE | CVE-2023-20198 | Bypass de auth | 2023 |
O incidente inicial, que abriu a investigação, foi contra uma organização diplomática na Indonésia, invadida pelo ProxyLogon. Na Colômbia, uma organização caiu pela falha do GeoServer. Na Taiwan, empresas de software foram comprometidas pelo Openfire. Ou seja: a escolha do alvo não exige talento, exige apenas um servidor desatualizado exposto à internet.
Como o invasor entra na rede
O StrikeShark combina dois caminhos. O primeiro é o já descrito: varredura da internet atrás de servidores vulneráveis, seguida da instalação de web shells e da cópia do aplicativo legítimo SystemSettings.exe para uma pasta como C:\ProgramData\. A partir daí, o atacante dispara uma cadeia de DLL side-loading que carrega o SharkLoader escondido dentro de uma SystemSettings.dll maliciosa. Em alguns casos, os criminosos chegaram a nomear pastas como KasperskyLab para parecerem confiáveis.
O segundo caminho é a engenharia social. A Kaspersky encontrou droppers disfarçados de instaladores do Cisco AnyConnect e do Google Update, além de arquivos ZIP com nomes técnicos sobre tratamento biológico e projeto de motor de foguete líquido. Num caso exemplar, o dropper descompactava um instalador verdadeiro do Cisco AnyConnect, rodava-o para a vítima e, no fundo, soltava silenciosamente o SharkLoader. Quem clica acha que está instalando a VPN da empresa.
Por que a América Latina preocupa
A Colômbia aparece na lista de vítimas confirmadas, e a Kaspersky classifica a campanha como ampla e oportunista, sem foco num setor específico. Para o Brasil, isso é um alerta direto. Firewalls Fortinet, balanceadores de carga F5, roteadores Cisco IOS XE e servidores Microsoft Exchange ainda operam em milhares de empresas brasileiras sem as correções aplicadas — justamente o perfil que o StrikeShark procura.
O histórico recente é desanimador. Falhas críticas na VPN da Check Point e na infraestrutura de acesso remoto já provaram que equipamentos de borda desatualizados são o calcanhar de Aquiles da segurança corporativa nacional. O StrikeShark reforça o padrão: quem mantém servidor exposto e sem patch vira alvo automático de varreduras automatizadas, mesmo sem ser um alvo político.
O foco em empresas de desenvolvimento de software também preocupa. Se um atacante consegue acesso ao ambiente de uma software house, pode comprometer cadeias de fornecimento inteiras — exatamente o vetor que atingiu milhares de repositórios recentemente, como no caso do CI/CD exposto pela falha Cordyceps.
Como se proteger do SharkLoader
A boa notícia é que nenhuma das brechas usadas pelo StrikeShark é nova. A defesa exige disciplina, e não tecnologia cara:
- Corrija tudo que está exposto. Aplique os patches de ProxyLogon, Exchange, SharePoint, FortiOS, BIG-IP, IOS XE, Zimbra e Openfire. Se um serviço não recebeu atualização há mais de seis meses, ele é um candidato a invasão.
- Remova servidores desnecessários da internet. Interfaces administrativas como o Web UI do Cisco IOS XE e o painel do Openfire não devem ficar acessíveis ao público.
- Valide instaladores de software. Desconfie de pacotes Cisco AnyConnect ou Google Update recebidos por e-mail ou download externo. Baixe sempre do site oficial do fabricante e confira a assinatura digital.
- Ative EDR e monitoramento de logs. Como o SharkLoader tenta desativar o log de segurança, um EDR com proteção contra adulteração (anti-tampering) é essencial para flagrar o carregamento suspeito de DLLs.
- Monitore credenciais. O pós-compromisso envolve dump de senhas da memória e do Active Directory. Alertas para uso do LSASS e movimentação lateral ajudam a cortar o ataque antes da exfiltração.
O que ainda não sabemos
A Kaspersky ainda não atribuiu o StrikeShark a nenhum grupo conhecido. Os principais vetores de pós-compromisso foram desenvolvidos por programadores de língua chinesa e publicados no GitHub, mas isso não prova que os operadores sejam chineses — ferramentas open-source circulam globalmente. Até o fechamento deste texto, não foi observada exfiltração clara de dados, embora os módulos do Cobalt Strike permitam roubo de arquivos a qualquer momento.
Segundo os pesquisadores, a combinação de SharkLoader, Cobalt Strike e exploração de aplicações públicas sugere um atacante que, ao mesmo tempo que mira alvos estratégicos, aproveita qualquer sistema vulnerável que apareça no caminho. Em outras palavras: mesmo sem ser alvo declarado, uma rede mal cuidada pode virar trampolim.