O grupo de cibercriminosos KongTuke, conhecido como um corretor de acesso inicial, começou a utilizar o Microsoft Teams para realizar ataques de engenharia social, conseguindo acesso persistente a redes corporativas em apenas cinco minutos. Os atacantes convencem os usuários a executar um comando PowerShell que instala o malware ModeloRAT, já observado em ataques anteriores. Essa mudança de tática marca a primeira vez que KongTuke utiliza uma plataforma de colaboração para obter acesso inicial, além de suas abordagens anteriores baseadas na web. Os pesquisadores da ReliaQuest notaram que a campanha está ativa desde pelo menos abril de 2026, com o grupo alternando entre cinco locatários do Microsoft 365 para evitar bloqueios. O comando PowerShell malicioso baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que por sua vez executa o malware. O ModeloRAT evoluiu, apresentando uma arquitetura de comando e controle mais resiliente, múltiplos caminhos de acesso independentes e mecanismos de persistência expandidos. Para se proteger contra esses ataques, recomenda-se restringir a federação externa do Microsoft Teams e utilizar indicadores de comprometimento para detectar atividades suspeitas.
Fonte: https://www.bleepingcomputer.com/news/security/kongtuke-hackers-now-use-microsoft-teams-for-corporate-breaches/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
14/05/2026 • Risco: ALTO
MALWARE
KongTuke usa Microsoft Teams para ataques de engenharia social
RESUMO EXECUTIVO
O uso de Microsoft Teams para ataques de engenharia social representa uma nova fronteira para os cibercriminosos, exigindo que as empresas adotem medidas proativas para proteger suas redes. A evolução do malware ModeloRAT e suas técnicas de persistência aumentam o risco de compromissos prolongados e exfiltração de dados sensíveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos relacionados à recuperação de dados e interrupção de serviços.
Operacional
Acesso persistente a redes corporativas e exfiltração de dados.
Setores vulneráveis
['Setores que utilizam Microsoft Teams, como tecnologia, finanças e educação.']
📊 INDICADORES CHAVE
Acesso em menos de cinco minutos após o primeiro contato.
Indicador
Uso de cinco locatários do Microsoft 365 para evitar bloqueios.
Contexto BR
Evolução do ModeloRAT com múltiplos mecanismos de persistência.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades no Microsoft Teams.
2
Restringir a federação externa do Microsoft Teams e implementar listas de permissão.
3
Monitorar continuamente atividades suspeitas e indicadores de comprometimento.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente utilização de plataformas de colaboração para ataques, o que pode comprometer a segurança das informações corporativas.
⚖️ COMPLIANCE
Implicações na LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
