Em 8 de outubro de 2025, pesquisadores de segurança cibernética descobriram uma sofisticada campanha de phishing direcionada a várias organizações ligadas aos esforços de alívio e reconstrução da guerra da Ucrânia. A campanha, identificada sob o nome de PhantomCaptcha, visava organizações de ajuda, incluindo o escritório ucraniano do Fundo das Nações Unidas para a Infância (UNICEF), o Conselho Norueguês de Refugiados, o Registro de Danos da Ucrânia do Conselho da Europa e administrações governamentais regionais em Donetsk, Dnipropetrovsk, Poltava e Mykolaiv.
Pesquisadores relataram SentinelOne que os invasores aproveitaram mensagens falsas de recrutamento e falsificaram comunicações oficiais, apresentando arquivos PDF com armadilhas e links falsos que levaram as vítimas a trojans de acesso remoto maliciosos (RATs). A campanha combina engenharia social e malware avançado de uma forma particularmente direcionada.
A campanha usou principalmente e-mails bem elaborados que pareciam vir do gabinete do presidente da Ucrânia, entre outras fontes confiáveis. Os e-mails anexavam documentos PDF com um link incorporado. Quando o link era clicado, ele redirecionava a vítima para uma página falsa de “captcha” (zoomconference.app) disfarçada de plataforma de videoconferência legítima. Essa página acionou uma conexão WebSocket com um servidor remoto e instalou um comando do PowerShell que levou à instalação de malware.
Depois que a vítima executou o comando do PowerShell, o downloader do primeiro estágio recuperou uma carga secundária de um servidor remoto. Essa carga útil acabou sendo um RAT especializado baseado em WebSocket, instalado na infraestrutura controlada pelo invasor. Esse malware deu ao agente da ameaça controle remoto total, permitindo roubo de arquivos, monitoramento e implantação adicional de carga útil.
Curiosamente, o domínio falso por trás da isca de videoconferência ficou ativo apenas por um único dia antes de desaparecer, em contraste com vários meses de trabalho de preparação, incluindo registros de domínio em março de 2025. Isso sugere alta segurança operacional e planejamento de longo prazo por parte dos invasores.
Grupos de ajuda tornaram-se alvos
Estas não são apenas vítimas aleatórias. As partes visadas são organizações que operam ou apoiam regiões afetadas pela guerra na Ucrânia com exposição internacional significativa, fluxos financeiros e dados de doadores. O acesso às suas redes pode fornecer aos invasores informações valiosas ou alavancagem para novas invasões.
Os pesquisadores de ameaças apontaram que, ao violar um grupo de ajuda, os invasores poderiam coletar informações como listas de doadores, correspondência governamental, registros financeiros e dados de projetos. Esses ativos são atraentes tanto para espionagem quanto para crimes financeiros. E dado que alguns dos alvos operam em regiões envolvidas no conflito com a Rússia, a intrusão pode servir a objetivos estratégicos mais amplos além do simples roubo.
O que torna esta campanha única
Ao contrário das campanhas de phishing em massa que espalham milhares de e-mails amplamente, o ataque PhantomCaptcha parece altamente direcionado e personalizado. O registro inicial do domínio ocorreu por volta de 27 de março de 2025, sugerindo meses de reconhecimento antes do ataque real. A infraestrutura do invasor também incluía “princess-mens.click”, um domínio usado para fornecer aplicativos de coleta Android capazes de coletar geolocalização, contatos, registros de chamadas, mídia e aplicativos instalados das vítimas.
O uso das principais tecnologias da web, como WebSockets para o RAT, páginas de interceptação de aparência legítima e cadeias do PowerShell sem credenciais, mostra que os invasores se sentiam confortáveis em misturar engenharia social, scripts leves e furtividade. A combinação de links falsos do Zoom e páginas CAPTCHA criou um senso de urgência e legitimidade, dois ingredientes-chave para o phishing bem-sucedido.
O que as organizações devem fazer agora
Para organizações de ajuda, organizações sem fins lucrativos e qualquer entidade que opere em zonas de conflito ou de socorro, este ataque oferece várias lições:
- Verifique cuidadosamente os e-mails de recrutamento de emprego, especialmente quando eles se originam de domínios desconhecidos ou incluem anexos.
- Nunca habilite macros, permita a execução de scripts ou clique em links de documentos recebidos inesperadamente, mesmo de contatos confiáveis.
- Monitore registros de dispositivos, configurações de aplicativos autenticadores e conexões WebSocket em escala para detectar sinais de entrada incomuns.
- Trate as plataformas de videoconferência e os sistemas de doação como potenciais vetores de ataque, não apenas ferramentas de comunicação interna.
- Realize auditorias regulares de dispositivos, logs de proxy e atividade de endpoint em busca de sinais de intrusão assimétrica – lembre-se de que os invasores podem aparecer como usuários legítimos.
Quando as apostas são altas, a segurança cibernética deve avançar de acordo. Os invasores não estão mais apenas buscando ganhos financeiros. Eles estão se infiltrando nas organizações combinando engenharia social individual e malware personalizado. Isso exige que os defensores mudem de táticas “preventivas em massa” para estratégias de “resposta personalizada”.
A campanha PhantomCaptcha prova que mesmo instituições confiáveis que trabalham em funções humanitárias permanecem em risco de ataques complexos. A dependência de plataformas de aparência legítima, como Zoom e verificações falsas de CAPTCHA na nuvem, mostra como a infraestrutura que as pessoas assumem ser segura pode ser voltada contra elas. Defender neste ambiente é sobre verificação constante, não suposição.