A intensificação de campanhas maliciosas na América Latina tem colocado o Brasil como principal alvo de operações cibercriminosas nos últimos meses. Levantamento da Proofpoint aponta uma atuação contínua e em expansão de um grupo com forte adaptação ao contexto local, combinando alto volume de ataques com experimentação de técnicas mais sofisticadas. Isso reflete a atratividade do país, impulsionada pela escala da economia digital e pela ampla adoção de serviços bancários online.

Entre dezembro e fevereiro, foram registradas dezenas de campanhas com mensagens em português e espanhol, que simulam comunicações de instituições financeiras, órgãos públicos e plataformas digitais. A estratégia se apoia em engenharia social para induzir respostas rápidas, ampliando a taxa de interação com links e anexos maliciosos. A operação é atribuída ao grupo identificado como TA2725, atualmente o mais ativo no monitoramento global da empresa, com foco direto em fraude financeira e roubo de credenciais.

Escala, evasão e adaptação marcam evolução do cibercrime

As campanhas têm utilizado majoritariamente o malware Astaroth, voltado à captura de dados sensíveis, incluindo credenciais e registros de digitação. Também foram observadas variantes como Metamorfo e Mispado, reforçando a diversificação de ferramentas voltadas ao mesmo objetivo. A padronização do uso de trojans bancários amplamente disponíveis indica uma estratégia baseada em escala e eficiência operacional, com baixo custo de adaptação.

Nos últimos meses, o grupo passou a incorporar ferramentas legítimas de acesso remoto, como soluções de monitoramento e gerenciamento, para manter presença persistente em sistemas comprometidos. Com isso a capacidade de evasão é ampliada além de dificultar a detecção por mecanismos tradicionais de segurança. Em paralelo, há indícios de retomada pontual do trojan Grandoreiro, ainda em níveis reduzidos, mas sugerindo possível rearticulação gradual.

Marcos Nehme, Country Manager para o Brasil na Proofpoint, afirmou em nota que “grupos cibercriminosos como o TA2725 são altamente adaptáveis, refinando continuamente suas técnicas para explorar melhor o comportamento humano e marcas confiáveis. Estamos observando uma mudança clara em direção a métodos de entrega mais sofisticados e iscas mais oportunas, o que aumenta a probabilidade de sucesso. Isso reforça a necessidade de as organizações priorizarem a conscientização dos usuários juntamente com proteção avançada contra ameaças”.

Eventos globais impulsionam golpes digitais

Outro fator explorado envolve o uso de eventos globais como gatilho para golpes direcionados. Em uma campanha recente, criminosos simularam comunicações associadas à Copa do Mundo FIFA 2026 para atingir usuários de criptomoedas, oferecendo supostos ingressos digitais. A fraude direcionava vítimas a páginas falsas com o objetivo de capturar frases de recuperação de carteiras digitais, permitindo o acesso integral aos ativos.

A combinação entre segmentação regional, uso intensivo de engenharia social e adaptação tecnológica evidencia um ambiente de ameaças mais dinâmico e orientado a resultados. O contexto reforça a necessidade de validação rigorosa de comunicações digitais e de maior maturidade em práticas de segurança, tanto em organizações quanto entre usuários finais.