Telegram

Um novo spyware, conhecido como ZeroDayRAT, está sendo comercializado no Telegram e visa dispositivos Android e iOS, permitindo que hackers tenham acesso remoto completo a câmeras, microfones e dados pessoais dos usuários. De acordo com a pesquisa da iVerify, o malware é capaz de gerenciar aparelhos comprometidos, coletando informações financeiras e espiando em tempo real. O spyware é descrito como um ‘kit de ferramentas completo’ que permite aos cibercriminosos monitorar as vítimas por meio de um painel de controle, que fornece dados sobre o modelo do dispositivo, versão do sistema operacional, status da bateria e localização geográfica. Além disso, o ZeroDayRAT pode ativar câmeras e microfones, registrar senhas e padrões de desbloqueio, e roubar informações de aplicativos financeiros, como Google Pay e Apple Pay. Especialistas alertam que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção por esse tipo de malware.

Pavel Durov, CEO do Telegram, criticou fortemente as novas restrições impostas pelo governo russo ao aplicativo de mensagens, prometendo resistir à censura estatal. As medidas, anunciadas pela Roskomnadzor, visam garantir a conformidade com a legislação russa e proteger os cidadãos, mas Durov as considera uma tentativa autoritária de forçar os usuários a migrarem para um aplicativo controlado pelo estado, o MAX, que possui potencial de vigilância. O aumento das restrições levou a um crescimento significativo no uso de VPNs, com a AmneziaVPN relatando uma onda de novos usuários. Especialistas alertam que as ações do governo russo indicam um objetivo de desconectar o país da internet global, com investimentos em tecnologias de inspeção profunda de pacotes (DPI) para bloquear serviços internacionais. O uso de VPNs está se tornando mais difícil, e Durov comparou a situação atual à censura enfrentada no Irã, onde tentativas de bloqueio falharam em impedir o uso do Telegram. A situação destaca a luta contínua pela liberdade de expressão e privacidade na era digital.

O grupo de ameaças iraniano conhecido como Infy, também chamado de Príncipe da Pérsia, tem aprimorado suas táticas para ocultar suas atividades maliciosas. Após um apagão de internet imposto pelo governo iraniano em janeiro de 2026, o grupo interrompeu a manutenção de seus servidores de comando e controle (C2) pela primeira vez em anos. No entanto, a atividade foi retomada em 26 de janeiro, com a configuração de novos servidores C2, indicando que o grupo está se adaptando rapidamente às mudanças no ambiente digital. O Infy, ativo desde 2004, é um dos grupos patrocinados pelo estado iraniano que realiza operações de espionagem e sabotagem. Recentemente, foram identificadas novas versões de suas ferramentas de ataque, como Foudre e Tonnerre, que agora utilizam um bot do Telegram para comunicação. A análise revelou que o grupo também explorou uma vulnerabilidade no WinRAR para implantar seu malware. O uso de técnicas como a geração de nomes de domínio por meio de algoritmos DGA e a desofuscação de dados em blockchain demonstra a sofisticação das operações do Infy, que continua a ser uma ameaça significativa no cenário de cibersegurança.

Ataques digitais sofisticados estão colocando em risco a segurança de aplicativos de mensagens como WhatsApp e Telegram, utilizados por milhões de brasileiros. Esses ataques, conhecidos como ‘zero clique’, não requerem que o usuário clique em links suspeitos ou interaja com arquivos, explorando vulnerabilidades invisíveis nos aplicativos. Segundo Paulo Trindade, especialista em inteligência de ameaças, os invasores utilizam falhas de software para instalar códigos maliciosos que comprometem o dispositivo de forma silenciosa, muitas vezes apenas com o recebimento de um conteúdo malicioso. A identificação desses ataques é complexa, pois os sinais de comprometimento são sutis, podendo se manifestar como lentidão momentânea no aparelho. Para mitigar os riscos, Trindade recomenda práticas preventivas, como evitar grupos desconhecidos e manter os aplicativos atualizados, uma vez que as atualizações corrigem brechas de segurança. O artigo destaca a importância de estar ciente dessas ameaças, especialmente em um cenário onde a comunicação digital é essencial para a vida cotidiana.

O Tudou Guarantee Marketplace, um serviço de transações ilícitas no Telegram, anunciou o encerramento de suas operações, segundo informações da empresa de análise de blockchain Elliptic. Este marketplace se destacou por processar mais de US$ 12 bilhões em transações, tornando-se o terceiro mais lucrativo da história. Apesar do fechamento, algumas atividades, como jogos de azar, ainda permanecem na plataforma. O Tudou Guarantee surgiu como uma alternativa após ações do Telegram para fechar mercados ilegais em 2025, atraindo clientes de outros serviços. A plataforma oferecia uma variedade de produtos e serviços ilegais, incluindo dados pessoais roubados e softwares de deepfake. A decisão de encerrar as operações pode estar relacionada a uma ação policial contra o conglomerado cambojano Prince Group. Especialistas alertam que, apesar do fechamento, o combate a esses mercados ilegais ainda é um desafio, especialmente com a crescente sofisticação das fraudes. O fundador da Elliptic, Tom Robinson, destacou que o Telegram não tem tomado medidas efetivas contra esses mercados, o que complica ainda mais a situação.

Um mercado de garantias baseado no Telegram, conhecido como Tudou Guarantee, está encerrando suas operações, conforme revelado por uma pesquisa da empresa de inteligência em blockchain Elliptic. Estima-se que o Tudou tenha processado mais de US$ 12 bilhões em transações, tornando-se o terceiro maior mercado ilícito da história. Embora suas operações de jogo ainda estejam ativas, a interrupção das transações em grupos públicos sugere uma possível mudança ou fechamento total. O Tudou se destacou como um centro para a venda de dados pessoais roubados, serviços de lavagem de dinheiro e plataformas fraudulentas, atraindo vendedores que anteriormente utilizavam o HuiOne Guarantee, que também foi fechado. A recente prisão do CEO do Prince Group, Chen Zhi, por envolvimento em um esquema de fraude de investimento, pode ter acelerado o declínio do Tudou. A Elliptic observa que, apesar do fechamento, a atividade criminosa provavelmente se dispersará para outros mercados. Em resposta, o governo dos EUA criou a Scam Center Strike Force para combater redes criminosas transnacionais na região, já confiscando US$ 401 milhões em criptomoedas relacionadas a fraudes.

Um novo relatório da Elliptic revela que grupos de golpistas chineses, como Tudou Guarantee e Xinbi Guarantee, estão utilizando o Telegram para facilitar transações ilegais de criptomoedas, totalizando cerca de US$ 2 bilhões mensais. Esses grupos estão envolvidos em atividades como lavagem de dinheiro, venda de ferramentas para roubo de dados e criação de sites de investimento fraudulentos. Além disso, eles comercializam serviços de deepfake e estão associados a crimes graves, incluindo tráfico humano e prostituição de menores. O Telegram, apesar de ter tentado barrar essas operações, não está mais se movendo para banir esses grupos, alegando que a plataforma oferece uma alternativa para a liberdade financeira em meio ao controle de capital na China. Essa situação levanta preocupações significativas sobre a segurança cibernética, já que a Elliptic identificou mais de 30 mercados clandestinos ativos, destacando a gravidade do problema e a necessidade de vigilância contínua por parte das autoridades e empresas de segurança.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

O grupo de hacktivistas pró-Rússia, conhecido como CyberVolk, lançou um ransomware chamado VolkLocker, que opera exclusivamente pelo Telegram. Este modelo de ransomware como serviço (RaaS) foi projetado para facilitar a venda de códigos maliciosos, permitindo que até mesmo usuários sem conhecimentos técnicos possam utilizá-lo. No entanto, uma falha crítica foi descoberta: as chaves mestras de criptografia estão incluídas nos arquivos executáveis, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O especialista Jim Walter, da SentinelOne, destacou que essa contradição revela dificuldades na operação do grupo, que, apesar de sua automação sofisticada, cometeu um erro ao deixar as chaves acessíveis. O ransomware utiliza escalonamento de privilégios para obter controle total das máquinas infectadas, mas a falta de geração dinâmica das chaves pode ser uma vantagem para as vítimas. Apesar dessa falha, o CyberVolk continua a ser uma ameaça significativa, com recursos adicionais como keyloggers e trojans de acesso remoto. A situação exige atenção, pois o ransomware pode impactar usuários desavisados e organizações em geral.

O grupo hacktivista pro-Rússia conhecido como CyberVolk, também chamado de GLORIAMIST, voltou a atuar com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker. Lançado em agosto de 2025, o VolkLocker é capaz de atacar sistemas Windows e Linux, utilizando a linguagem de programação Golang. Apesar de suas características típicas de ransomware, como a modificação do Registro do Windows e a exclusão de cópias de sombra, uma análise revelou uma falha crítica: as chaves mestres do ransomware estão codificadas nos binários e são armazenadas em um arquivo de texto simples na pasta %TEMP%, permitindo que as vítimas recuperem seus arquivos sem pagar o resgate. O ransomware utiliza criptografia AES-256 em modo Galois/Counter (GCM) e impõe um timer que apaga pastas do usuário se o pagamento não for realizado em 48 horas ou se a chave de descriptografia for inserida incorretamente três vezes. O CyberVolk também oferece um trojan de acesso remoto e um keylogger, ampliando sua estratégia de monetização. A operação é gerenciada via Telegram, com preços variando de $800 a $2,200, dependendo do sistema operacional. Apesar das tentativas de banimento de contas no Telegram, o grupo conseguiu restabelecer suas operações, refletindo uma tendência crescente entre grupos de ameaças politicamente motivadas.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

O Irã continua a manter a proibição do Telegram, que já dura sete anos, e um legislador iraniano atribui essa situação à chamada ‘máfia das VPNs’. O secretário da Comissão de Indústrias e Minas do parlamento, Mostafa Pourdehghan, afirmou que o lobby em favor da venda de VPNs, que movimenta cerca de 50 trilhões de tomans (aproximadamente 450 milhões de dólares), está impedindo a liberação do aplicativo. Desde 2018, os cidadãos iranianos têm acesso ao Telegram apenas por meio de VPNs, devido a restrições impostas em nome da segurança nacional. Apesar de o governo estar em conversações para potencialmente desbloquear o serviço, as condições impostas incluem a limitação de conteúdo considerado provocativo e a colaboração com a justiça iraniana em solicitações de dados. Essas exigências, segundo Pourdehghan, estão em desacordo com os princípios de liberdade de expressão defendidos pelo fundador do Telegram, Pavel Durov. A crescente utilização de VPNs no Irã, que atinge cerca de 90% da população, reflete a repressão à liberdade de acesso à internet, com a maioria das plataformas de redes sociais ainda bloqueadas no país. A situação levanta preocupações sobre a liberdade digital e os direitos dos cidadãos no Irã.

Um novo consórcio de cibercriminosos, denominado Scattered LAPSUS$ Hunters (SLH), surgiu a partir da fusão de três grupos notórios: Scattered Spider, ShinyHunters e LAPSUS$. De acordo com a equipe de inteligência de ameaças da Trustwave SpiderLabs, o SLH é descrito como uma “aliança federada” que oferece Extorsão como Serviço (EaaS), herdando características operacionais do ecossistema cibercriminoso conhecido como The Com. O grupo utiliza o Telegram como plataforma de coordenação e identidade pública, mesclando motivação financeira com um estilo hacktivista. Desde sua primeira aparição em agosto de 2025, o SLH tem demonstrado uma notável capacidade de adaptação, reestabelecendo sua presença mesmo após frequentes desmantelamentos. O grupo promove seu modelo EaaS, convidando afiliados a “alugar” sua marca para campanhas de extorsão. Além disso, o SLH está desenvolvendo um ransomware chamado “Sh1nySp1d3r”. As táticas do grupo incluem engenharia social avançada e exploração de vulnerabilidades, como CVE-2025-31324 e CVE-2025-61882, indicando uma possível colaboração com outros operadores de ransomware. A análise sugere que o SLH representa uma reestruturação estratégica de operadores veteranos, sinalizando um novo modelo de ciberextorsão para 2026.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

Cibercriminosos estão utilizando alegações de direitos autorais falsas, potencializadas por ferramentas de inteligência artificial, para disseminar malware em plataformas online. De acordo com uma pesquisa da Cofense Intelligence, atacantes têm enviado mensagens que imitam solicitações legítimas de remoção de conteúdo, visando pressionar as vítimas a clicarem em links que, em vez de resolver problemas de copyright, levam ao download de malware. Um ator de ameaça vietnamita, conhecido como Lone None, tem se destacado nessa prática, utilizando traduções automáticas para alcançar um público mais amplo. Os operadores embutem informações de carga maliciosa em perfis de bots do Telegram, direcionando as vítimas a arquivos hospedados em plataformas gratuitas, onde aplicativos legítimos são disfarçados junto a arquivos maliciosos. O malware, que inclui um novo tipo chamado Lone None Stealer, é projetado para roubar informações, especialmente relacionadas a criptomoedas, ao substituir endereços de carteiras por aqueles controlados pelos atacantes. Embora as campanhas atuais se concentrem em roubo de informações, a flexibilidade da infraestrutura pode permitir a entrega de ransomware em futuras iterações. A detecção pode ser facilitada por indicadores técnicos, mas a melhor defesa continua sendo a conscientização e treinamento dos usuários.

Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.

Um novo tipo de fraude conhecido como “ghost tapping” está se espalhando rapidamente, especialmente no Sudeste Asiático, desde 2020. Essa prática envolve o uso de dados de cartões de pagamento roubados, frequentemente obtidos por meio de phishing e engenharia social, que são carregados em celulares descartáveis, conhecidos como “burner phones”. Os criminosos conseguem contornar a segurança interceptando senhas de uso único enviadas às vítimas e, em seguida, utilizam esses dados para realizar compras em lojas ou retirar dinheiro de caixas eletrônicos. As mercadorias adquiridas, como joias e eletrônicos, são rapidamente revendidas em canais clandestinos, como o Telegram. Apesar das ações policiais, as redes de fraude se adaptaram, migrando para plataformas alternativas que continuam a facilitar essas transações fraudulentas. A falta de verificações rigorosas de identidade em muitos estabelecimentos torna a detecção de fraudes no ponto de venda extremamente difícil. Em Cingapura, por exemplo, a polícia registrou centenas de incidentes relacionados a dados de cartões de pagamento, resultando em perdas significativas. A situação exige que bancos, varejistas e provedores de pagamento adotem medidas mais robustas de segurança e autenticação para proteger os consumidores e mitigar os riscos associados a essa nova onda de fraudes.