Mais de 20 sites do governo brasileiro foram sequestrados e transformados em canais de distribuição de malware em uma campanha ativa chamada PhantomEnigma, descoberta pela ANY.RUN, provedora líder de soluções interativas de análise de malware e inteligência de ameaças.
A investigação revelou comportamento de backdoor nunca antes documentado, relações ocultas na infraestrutura e múltiplos braços de ataque por trás de uma campanha que coloca bancos e órgãos públicos em risco.
Ao conectar centenas de sessões de sandbox aparentemente sem relação, os pesquisadores da ANY.RUN expuseram o alcance mais amplo da operação e mostraram como links confiáveis de domínios .gov.br e e-mails autenticados ajudaram a atividade a permanecer oculta.
Para a análise técnica completa, detalhes de infraestrutura, indicadores e orientações de detecção, leia o relatório completo da investigação sobre o PhantomEnigma.
Infraestrutura governamental confiável virou isca
O ataque começou com documentos falsos com tema policial apresentados como avisos oficiais de "Ofício Polícia Civil" ou "Procuração Digital". Alguns continham códigos QR, enquanto outros direcionavam os destinatários para links criados para parecerem recursos governamentais legítimos.
Em vários casos, os e-mails foram enviados por meio de caixas de correio comprometidas e passaram pelas verificações SPF (protocolo de autenticação que valida o servidor de origem), DKIM (protocolo que assina digitalmente as mensagens) e DMARC (protocolo que define como tratar mensagens que falham na autenticação). Isso deu às mensagens uma aparência de legitimidade maior do que e-mails comuns de phishing falsificado.
As vítimas eram então redirecionadas por hosts .gov.br comprometidos ou domínios falsos com tema policial antes de chegar ao instalador malicioso. Os sistemas governamentais foram usados como infraestrutura de entrega confiável, não necessariamente como alvos finais da campanha.
Hospedeiros governamentais observados
Entre os sistemas comprometidos observados durante a investigação estavam timon.ma.gov[.]br, loginam.sesp.es.gov[.]br (segurança pública estadual), aplicacao.cbm.mt.gov[.]br (corpo de bombeiros), prodoc.ap.gov[.]br, entre outros.
Esses portais legítimos municipais, de segurança pública e do judiciário foram utilizados em diferentes etapas da cadeia de distribuição. Vários também apareceram em mais de um braço de ataque do PhantomEnigma, ajudando os pesquisadores a conectar atividades que inicialmente pareciam sem relação.
A evolução do PhantomEnigma: dois caminhos para dificultar a detecção
A linha do tempo mostra uma operação evoluindo em dois caminhos principais:
Distribuição: o PhantomEnigma migrou de uma atividade focada no setor bancário em 2025 para o abuso de sites e contas de e-mail .gov.br comprometidos em 2026. Isso deu à campanha uma rota mais confiável até as vítimas, sem confirmar um novo grupo-alvo.
Arsenal: o malware evoluiu de um banker (malware bancário) baseado em extensão de navegador para um backdoor modular em Inno/Node.js capaz de executar JavaScript e entregar payloads (cargas úteis) adicionais.
Para as equipes de segurança, essa combinação cria uma lacuna séria de visibilidade. A infraestrutura confiável reduz a suspeita, payloads modulares podem mudar após a infecção e a rotação rápida dos domínios de C2 (servidores de comando e controle) torna listas de bloqueio estáticas rapidamente desatualizadas. A análise comportamental e a caça contínua a ameaças oferecem uma cobertura mais confiável à medida que a campanha evolui.
Do e-mail confiável ao comprometimento total: a cadeia de ataque do PhantomEnigma
Depois que a vítima interagia com a isca, a campanha seguia por uma cadeia de infecção em múltiplas etapas:
- E-mail de phishing: uma isca falsa com tema policial ou documento oficial chega à vítima.
- Infraestrutura confiável: o link redireciona por um host governamental comprometido ou domínio falso com tema policial.
- Instalador malicioso: um instalador Inno Setup, MSI (formato de pacote do Windows) ou de outro tipo inicia a infecção.
- Aplicativo Electron modificado: um software legítimo carrega um backdoor malicioso em index.js.
- Ativação do backdoor: o malware coleta dados do sistema, estabelece persistência e se conecta à infraestrutura rotativa de C2.
- Entrega de segunda etapa: o backdoor executa JavaScript ou entrega stealers (programas que roubam credenciais e dados), loaders (programas que baixam outros malwares), softwares de RMM (gerenciamento e monitoramento remoto) e outros malwares.
- Impacto no negócio: a infecção pode levar ao comprometimento de credenciais, acessos não autorizados, fraudes, exposição de dados e interrupção operacional.
O que os pesquisadores encontraram dentro do backdoor do PhantomEnigma
As sessões de sandbox expuseram mais do que um simples downloader (programa que baixa outros componentes maliciosos). Escondido dentro de um Boostnote modificado e de outros aplicativos estava um backdoor modular em index.js, criado para identificar máquinas infectadas, manter o acesso e entregar diferentes payloads sob demanda.
Uma vez ativado, o backdoor podia:
- Coletar o nome do computador, nome de usuário e detalhes do sistema da vítima
- Criar um ID persistente da máquina e ler uma tag da campanha armazenada ao lado do instalador
- Estabelecer persistência por meio de configurações de login
- Verificar novos comandos a cada 180 segundos
- Executar JavaScript diretamente por meio de eval()
- Baixar e executar payloads em formato executável
- Se comunicar por meio de múltiplos formatos de beacon (sinais de comunicação) através de uma infraestrutura rotativa
Esse design modular permite que o operador troque o payload final sem reconstruir toda a cadeia de infecção. Um sistema inicialmente exposto ao mesmo instalador pode, mais tarde, receber um stealer, loader, ferramenta de gestão remota ou outro executável, dificultando tanto a detecção quanto a contenção.
Um alerta para bancos e órgãos públicos
O PhantomEnigma mostra como atacantes podem transformar infraestrutura confiável em uma vantagem de detecção. Um domínio governamental legítimo, e-mail autenticado ou laudo limpo de um arquivo pode reduzir a suspeita mesmo quando a cadeia de infecção já está ativa.
Para bancos e organizações do setor público, o risco vai além de um endpoint (dispositivo final) comprometido. Credenciais roubadas e acesso persistente via backdoor podem expor sistemas internos, dados sensíveis e operações financeiras, enquanto alertas fragmentados atrasam a contenção.
As equipes de segurança devem oferecer aos funcionários um canal seguro para relatar mensagens suspeitas com aparência oficial e investigá-las além do laudo inicial. Identificar a isca confiável logo no começo pode evitar roubo de credenciais, a entrega de payloads adicionais e um incidente operacional mais amplo.
Obtenha os IOCs (indicadores de comprometimento), descobertas de infraestrutura e orientações de detecção do PhantomEnigma para fortalecer a caça a ameaças e a resposta a incidentes.
Acesse o relatório completo.