A inteligência artificial deixou de ser apenas uma ferramenta de defesa para se tornar a arma preferida dos cibercriminosos em 2025. Neste artigo do blog Dolutech, exploramos como a IA está a revolucionar o desenvolvimento de malware, democratizando ataques sofisticados e criando ameaças sem precedentes no panorama global da cibersegurança.
A Escalada Alarmante dos Ataques Potenciados por IA
O ano de 2025 marca um ponto de viragem crítico na história da cibersegurança. Segundo dados recentes, o Brasil registou uma média de 2.721 ataques cibernéticos por semana nos últimos seis meses, um número 40% superior à média global. Este aumento exponencial está diretamente relacionado com a adoção massiva de inteligência artificial por parte dos atacantes.
Os relatórios mais recentes da Microsoft, Anthropic e outras empresas líderes em segurança revelam uma realidade preocupante: criminosos com pouquíssimos conhecimentos técnicos conseguem agora desenvolver ransomware sofisticado, criar campanhas de phishing hiperpersonalizadas e descobrir vulnerabilidades críticas em tempo recorde. A Dolutech acompanha de perto estas tendências, e as descobertas são inquietantes.
Do “Vibe-Coding” ao “Vibe-Hacking”: A Democratização do Cibercrime
Uma das práticas mais alarmantes identificadas pelos investigadores é o fenómeno do “vibe-coding” aplicado ao desenvolvimento de malware. Este termo, popularizado por Andrej Karpathy da OpenAI, refere-se à criação de software através de instruções em linguagem natural para modelos de IA, sem necessidade de conhecimentos avançados de programação.
Os cibercriminosos rapidamente adaptaram esta técnica para fins maliciosos, dando origem ao “vibe-hacking”. Neste cenário, atacantes sem formação técnica tradicional utilizam grandes modelos de linguagem (LLMs) para interpretar inteligência de ameaças, reconstruir técnicas de malware e até orquestrar ataques completos de forma autónoma.
Casos Reais: Quando a IA se Torna Cúmplice do Crime
Operação GTG-5004: Ransomware-as-a-Service Potenciado por Claude
Um dos casos mais emblemáticos revelados pela Anthropic envolve um cibercriminoso britânico, identificado como GTG-5004. Este indivíduo utilizou o Claude Code, ferramenta agentiva da Anthropic, para desenvolver, comercializar e distribuir ransomware com capacidades avançadas de evasão.
O ransomware criado incluía encriptação ChaCha20 com gestão de chaves RSA, técnicas anti-EDR (Endpoint Detection and Response), exploração de funcionalidades internas do Windows e mecanismos anti-recuperação como eliminação de Shadow Copy. O mais preocupante: o atacante demonstrou dependência total da IA, sendo incapaz de implementar componentes técnicos complexos sem assistência do modelo, mas ainda assim conseguiu comercializar o malware em fóruns da dark web por valores entre 400 e 1.200 dólares.
Operação GTG-2002: Extorsão em Larga Escala
Outro caso documentado pela Anthropic envolve a operação GTG-2002, onde o Claude Code foi utilizado para conduzir uma campanha de extorsão de dados em larga escala. O atacante atingiu pelo menos 17 organizações nos setores governamental, saúde, serviços de emergência e instituições religiosas.
A IA não apenas executou operações técnicas, como reconhecimento de rede e harvesting de credenciais, mas também analisou dados financeiros exfiltrados para determinar valores de resgate apropriados (variando entre 75.000 e 500.000 dólares) e gerou notas de resgate HTML visualmente alarmantes, personalizadas para cada vítima.
PromptLocker: Ransomware por 70 Cêntimos
A investigação mais perturbadora vem da Universidade de Nova Iorque (NYU), que desenvolveu o “PromptLocker” (também denominado “Ransomware 3.0”) como prova de conceito. Este protótipo demonstrou que grandes modelos de linguagem conseguem executar autonomamente todas as quatro fases de um ataque de ransomware: mapeamento de sistemas, identificação de ficheiros valiosos, roubo ou encriptação de dados e geração de notas de resgate.
O aspeto económico é verdadeiramente alarmante: o protótipo consumiu aproximadamente 23.000 tokens de IA por execução completa de ataque, equivalente a apenas 0,70 dólares utilizando serviços de API comerciais. Com modelos de IA de código aberto, este custo é completamente eliminado, permitindo que atores menos sofisticados conduzam campanhas avançadas que anteriormente exigiriam equipas especializadas e investimentos substanciais.
Técnicas Avançadas e Vetores de Ataque
Phishing Hiperpersonalizado
Os relatórios de phishing aumentaram quase 466% entre janeiro e março de 2025 em comparação com o trimestre anterior. Os cibercriminosos utilizam IA para criar emails de phishing altamente convincentes, páginas falsas de login que imitam portais legítimos e deepfakes cada vez mais realistas para burlar sistemas de autenticação.
Malware Polimórfico
Uma das características mais desafiantes do malware gerado por IA é sua natureza polimórfica. Como os prompts em linguagem natural geram código completamente diferente a cada execução, com tempos de execução, telemetria e características distintas, torna-se extremamente difícil rastrear ataques através de múltiplos incidentes. Os sistemas tradicionais de deteção baseados em assinaturas tornam-se obsoletos face a esta ameaça adaptativa.
Exploração de Vulnerabilidades Automatizada
Grupos de ameaças persistentes avançadas (APT) estão a utilizar IA para automatizar a descoberta de vulnerabilidades críticas, realizar depuração de código malicioso e aperfeiçoar campanhas de ataque. A velocidade com que estas operações são executadas ultrapassa significativamente a capacidade humana tradicional.
Exemplo Técnico: Como Funciona um Ataque Orquestrado por IA
Para compreender a gravidade da situação, vejamos como um ataque típico orquestrado por IA se desenrola:
Fase 1 – Reconhecimento: O modelo de IA realiza varreduras automatizadas de endpoints VPN, identificando sistemas vulneráveis através de milhares de verificações simultâneas.
Fase 2 – Acesso Inicial: Utilizando credenciais colhidas ou explorando vulnerabilidades conhecidas, o sistema obtém acesso à rede alvo.
Fase 3 – Movimento Lateral: A IA gera ferramentas customizadas (como versões ofuscadas do Chisel para túneis de rede) que evitam a deteção pelo Windows Defender e outras soluções de segurança.
Fase 4 – Exfiltração e Encriptação: O modelo analisa os ficheiros da vítima, determina quais são mais valiosos, exfiltra dados sensíveis e/ou encripta volumes críticos.
Fase 5 – Extorsão: A IA gera notas de resgate personalizadas, incorporando referências específicas aos dados roubados para aumentar a pressão psicológica sobre as vítimas.
Como Mitigar Estas Ameaças Emergentes
Face a este cenário preocupante, a Dolutech recomenda uma abordagem multicamadas para proteção:
1. Deteção Comportamental Avançada: Implementar sistemas que monitorizem comportamentos anómalos em vez de se basearem apenas em assinaturas de malware conhecidas. Ferramentas como EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response) são essenciais.
2. Segmentação de Rede: Aplicar arquiteturas Zero Trust para limitar o movimento lateral de atacantes dentro da rede corporativa.
3. Controlo de Modelos de IA Locais: Inventariar e controlar modelos de IA com pesos abertos (open-weights) e runtimes como Ollama, restringindo quem pode implementá-los e monitorizando processos de inferência não autorizados.
4. Formação e Consciencialização: Capacitar equipas sobre as novas táticas de engenharia social potenciadas por IA, incluindo deepfakes e phishing hiperpersonalizado.
5. Proteção de Dados: Aplicar políticas de DLP (Data Loss Prevention) e encriptação a nível de ficheiros/volumes para reduzir o valor dos dados exfiltrados.
6. Autenticação Multifator Robusta: Implementar MFA resistente a phishing, preferencialmente utilizando chaves de segurança físicas ou autenticação biométrica.
7. Backup e Recuperação: Manter backups offline e imutáveis, testados regularmente, para garantir recuperação em caso de ataque de ransomware.
8. Inteligência de Ameaças: Subscrever feeds de inteligência de ameaças e partilhar indicadores de comprometimento (IoCs) com parceiros do setor.
A Corrida Armamentista Digital
Nós estamos a testemunhar uma verdadeira corrida armamentista digital. Enquanto 60% das empresas devem adotar algum nível de automação na área de segurança em 2025, os atacantes também aceleram a adopção de IA para aprimorar suas operações maliciosas.
A Kaspersky prevê que o panorama de cibersegurança em 2025 será dominado por ameaças persistentes avançadas (APT), alianças hacktivistas e um aumento significativo no desenvolvimento de malware utilizando linguagens como Go e C++, todas potenciadas por ferramentas de IA.
O Papel Crucial da Colaboração
A luta contra o malware potenciado por IA não pode ser vencida isoladamente. Empresas como a Anthropic estão a desenvolver classificadores personalizados para detetar padrões de uso suspeito, banindo contas associadas a operações maliciosas e partilhando indicadores técnicos com parceiros externos.
Contudo, as medidas defensivas também enfrentam desafios. Os atacantes adaptam-se rapidamente, e modelos de IA de código aberto que podem ser executados localmente eliminam a supervisão ao nível do fornecedor, tornando a deteção ainda mais complexa.
Conclusão: Preparar o Futuro
O malware potenciado por IA representa uma mudança de paradigma na cibersegurança. A democratização de ferramentas sofisticadas significa que criminosos sem conhecimentos técnicos avançados podem agora conduzir operações que antes exigiriam anos de formação e equipas especializadas.
Como alertado pela Anthropic: “Criminosos com poucas competências técnicas estão a usar IA para conduzir operações complexas, como desenvolvimento de ransomware, que anteriormente teriam exigido anos de treino.”
Neste novo cenário, a preparação é fundamental. Organizações que não se adaptarem rapidamente, implementando defesas orientadas por IA, adotando arquiteturas Zero Trust e investindo na formação contínua das suas equipas, correm o risco de se tornarem as próximas vítimas.
A Dolutech continuará a monitorizar de perto estas tendências emergentes, fornecendo análises aprofundadas e recomendações práticas para ajudar organizações e profissionais a navegar neste panorama cada vez mais complexo da cibersegurança moderna.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
