A CYFIRMA, empresa global de inteligência de ameaças cibernéticas, publicou nesta quinta-feira (13 de março de 2026) seu relatório semanal de inteligência trazendo um panorama alarmante do cenário atual de cibersegurança. O documento revela ameaças que vão desde novas variantes de ransomware e malwares direcionados a macOS até operações de espionagem cibernética chinesa contra telecomunicações globais e guerra eletrônica no Estreito de Ormuz. Neste artigo do blog Dolutech, vamos detalhar cada uma dessas ameaças para que nossos leitores compreendam a gravidade do momento e saibam como se proteger.
Ransomware Chip: Nova Variante da Família MedusaLocker
A equipe de pesquisa da CYFIRMA identificou uma nova cepa de ransomware chamada Chip, associada à família MedusaLocker. Essa família de ransomware é conhecida por sua agressividade na criptografia de arquivos e por atacar especificamente hosts remotos e compartilhamentos de rede, o que a torna particularmente perigosa em ambientes corporativos.
O Chip utiliza uma combinação de algoritmos AES e RSA para criptografar os arquivos das vítimas, adicionando a extensão “.chip1” (o número pode variar entre amostras) aos arquivos afetados. Após a execução, o malware gera uma nota de resgate intitulada “Recovery_README.html” e altera o ambiente do sistema para notificar as vítimas sobre a criptografia.
A nota de resgate emprega táticas clássicas de coerção psicológica. Ela alerta que os arquivos foram “modificados, não danificados” e adverte as vítimas a não renomear ou tentar recuperar arquivos criptografados usando ferramentas de terceiros, alegando que tais ações podem corromper permanentemente os dados. Os operadores impõem uma janela limitada de resposta, indicando que o valor do resgate pode aumentar caso o contato não seja estabelecido dentro do prazo especificado. Além disso, afirmam que dados sensíveis podem ter sido coletados durante a intrusão e poderão ser divulgados publicamente se o resgate não for pago, configurando a tática de dupla extorsão.
Como o Chip opera tecnicamente
Do ponto de vista técnico, o Chip emprega diversas técnicas mapeadas pelo framework MITRE ATT&CK. Para persistência, utiliza chaves de registro de inicialização automática (T1547.001). Para escalação de privilégios, recorre à manipulação de tokens de acesso e Parent PID Spoofing (T1134.004). Nas técnicas de evasão de defesa, implementa ofuscação de arquivos (T1027), decodificação de informações (T1140), modificação de permissões de arquivos (T1222) e evasão de virtualização/sandbox (T1497). O malware também possui capacidades de keylogging para captura de credenciais (T1056.001).
Nós na Dolutech ressaltamos que atualmente não existe uma ferramenta de descriptografia publicamente disponível ou verificada para esta variante, e não há garantia confirmada de que o pagamento do resgate resultará em recuperação bem-sucedida dos dados. Os setores mais visados incluem manufatura, saúde, educação, serviços profissionais, tecnologia, governo e organizações financeiras.
AMOS Stealer: Malware Sofisticado Mirando Usuários de macOS
O segundo destaque do relatório CYFIRMA é o AMOS Stealer (Atomic macOS Stealer), um malware sofisticado que está sendo distribuído através de um arquivo de imagem de disco chamado “Clearl_AI.dmg”, disfarçado como um instalador de software legítimo de inteligência artificial.
Este malware representa uma evolução significativa nas ameaças direcionadas ao ecossistema Apple. Ao ser aberto, o disco de imagem contém um pacote de aplicativo chamado “Clearl AI.app” junto com diversas pastas de suporte tipicamente encontradas em imagens de disco macOS. Essa estrutura é projetada para se parecer com um pacote de aplicativo macOS normal, reduzindo a suspeita dos usuários durante a instalação.
A cadeia de ataque do AMOS
Uma vez que o aplicativo é lançado, o malware opera silenciosamente em segundo plano enquanto interage com processos e serviços legítimos do macOS. Ele estabelece comunicação de rede criptografada com infraestrutura externa e executa ações destinadas a evadir a detecção de segurança. Durante a execução, o malware acessa diversos arquivos de configuração do sistema e cria arquivos ocultos dentro de diretórios do usuário, que auxiliam na coleta de informações relacionadas ao sistema e na manutenção de sua atividade na máquina infectada.
A sofisticação do AMOS reside na sua capacidade de se misturar com operações normais do sistema. Em vez de causar interrupções perceptíveis, ele interage com serviços e diretórios comuns do macOS, permitindo que a atividade maliciosa permaneça sutil e com menor probabilidade de atrair atenção. O uso de domínios confiáveis, conexões criptografadas e técnicas de mascaramento ajuda a ameaça a ocultar suas operações.
Este malware não é novo, mas vem evoluindo rapidamente. Em dezembro de 2025, a Huntress identificou campanhas do AMOS sendo distribuídas através de respostas envenenadas do ChatGPT e do Grok. A Malwarebytes documentou casos em que anúncios do Google redirecionavam usuários de Mac para chats de IA envenenados que espalhavam o infostealer. Em fevereiro de 2026, o BleepingComputer reportou que o AMOS estava sendo distribuído através de um aplicativo popular de IA falsificado. A Trend Micro, por sua vez, publicou uma análise MDR detalhada sobre as campanhas do AMOS, confirmando que a família de malware é especializada em roubar dados sensíveis de sistemas macOS, incluindo credenciais, carteiras de criptomoedas e dados de navegadores.
A CYFIRMA avalia que, do ponto de vista de tendências, o AMOS sugere um futuro onde ameaças direcionadas ao macOS imitam cada vez mais operações legítimas do sistema, tornando a atividade maliciosa mais difícil de distinguir de processos normais. Essa combinação de manipulação sutil do usuário e controle encoberto pode permitir que o malware opere quase invisivelmente.
Salt Typhoon e UAT-9244: Espionagem Chinesa Contra Telecomunicações Globais
O terceiro e talvez mais preocupante destaque do relatório é a atividade do grupo de espionagem cibernética vinculado à China, rastreado como UAT-9244, que possui sobreposições táticas com o notório Salt Typhoon. Esse grupo tem como foco principal a infraestrutura de telecomunicações em todo o mundo e representa uma ameaça de nível estatal com implicações geopolíticas profundas.
O Salt Typhoon está ativo desde pelo menos 2020 e é considerado um grupo APT (Advanced Persistent Threat) altamente sofisticado, acreditado como operado pelo Ministério de Segurança do Estado (MSS) da China. De acordo com o TechCrunch, que publicou uma investigação detalhada em 9 de março de 2026, o Salt Typhoon compromeu pelo menos 200 empresas em 80 países, incluindo gigantes americanas de telecomunicações. O grupo é amplamente considerado como um ativo estratégico alinhado com a “Estratégia de 100 Anos” da China para expandir sua influência global e domínio tecnológico.
Novos malwares: TernDoor, PeerTime e BruteEntry
A análise mais recente, publicada pelo Cisco Talos em 5 de março de 2026, revelou que o UAT-9244 está utilizando três implantes de malware previamente não documentados em suas operações contra provedores de telecomunicações na América do Sul.
O TernDoor é um backdoor para Windows implantado através de DLL side-loading. Ele utiliza o executável legítimo “wsprint.exe” para carregar uma DLL maliciosa (“BugSplatRc64.dll”) que descriptografa e executa o payload final em memória. O TernDoor é uma variante do Crowdoor (que por sua vez é variante do SparrowDoor) e está em uso desde pelo menos novembro de 2024. Suas capacidades incluem criação de processos, execução de comandos arbitrários, leitura e escrita de arquivos, coleta de informações do sistema e implantação de um driver do Windows para ocultar componentes maliciosos e gerenciar processos. O malware estabelece persistência através de tarefas agendadas ou chaves de registro.
O PeerTime (também chamado de “angrypeer”) é um backdoor peer-to-peer para Linux compilado para múltiplas arquiteturas, incluindo ARM, AARCH, PPC e MIPS, permitindo a infecção de uma variedade de sistemas embarcados. O backdoor utiliza o protocolo BitTorrent para buscar informações de comando e controle, baixar arquivos de seus pares e executá-los no sistema comprometido. Uma descoberta particularmente reveladora é que o binário instrumentador contém strings de debug em chinês simplificado, indicando que foi criado por atores de ameaças falantes de chinês. O PeerTime é implantado via script shell e possui a capacidade de renomear-se como um processo inofensivo para evadir detecção.
O BruteEntry é um scanner de força bruta instalado em dispositivos de borda (edge devices) para transformá-los em nós proxy de escaneamento massivo dentro de uma Operational Relay Box (ORB). Escrito em Golang, o BruteEntry é capaz de realizar ataques de força bruta contra servidores PostgreSQL, SSH e Apache Tomcat, reportando logins bem-sucedidos de volta ao servidor C2.
Alcance global da campanha
Os países alvo identificados incluem Argentina, Bangladesh, Brasil, Canadá, Egito, Etiópia, França, Alemanha, Guatemala, Índia, Indonésia, Israel, Japão, Malásia, México, Holanda, Paquistão, Filipinas, Arábia Saudita, Singapura, África do Sul, Taiwan, Tailândia, Reino Unido, EUA, Vietnã, entre outros. Os setores mais visados são telecomunicações, governo, defesa, finanças, saúde, educação, transporte e tecnologia.
A Dolutech destaca que essa campanha é particularmente preocupante para organizações brasileiras do setor de telecomunicações, dado que a América do Sul é um alvo ativo confirmado.
Ransomware Qilin e The Gentlemen: Ameaças em Expansão
O relatório CYFIRMA também destaca atividades recentes de dois grupos de ransomware que merecem atenção.
O Qilin é um dos grupos de ransomware mais ativos do momento, operando sob o modelo RaaS e empregando táticas de dupla extorsão. Segundo a NCC Group, o Qilin registrou 7.874 incidentes de cibersegurança em 2025, tornando-o um dos grupos mais prolíficos. Em março de 2026, o grupo comprometeu a Golden Clay Industries Sdn Bhd, fabricante malaia de telhas de argila e materiais de construção. Os principais países visados incluem Estados Unidos, Canadá, França, Reino Unido e Itália, com foco nos setores de manufatura, serviços profissionais, bens de consumo, saúde e tecnologia da informação. O Qilin possui capacidades cross-platform (Windows, Linux e VMware ESXi), o que o torna particularmente perigoso para ambientes empresariais virtualizados.
O The Gentlemen é um grupo de ransomware relativamente novo, mas altamente sofisticado, que emergiu em meados de 2025 e já impactou pelo menos 17 países nas Américas, Europa e Ásia. Segundo a SC Media, o grupo está expandindo suas intrusões rapidamente. A CYFIRMA observou que o Gentlemen comprometeu a Reanthong Partcenter, empresa tailandesa de manufatura. Os dados violados ainda não apareceram no site de vazamento, indicando que negociações podem estar em andamento. O grupo visa principalmente EUA, Brasil, Tailândia, Espanha e Vietnã, focando em bens de consumo, manufatura, materiais, serviços profissionais e TI. A presença do Brasil entre os cinco principais alvos é um ponto de atenção importante para organizações brasileiras.
Jamming de GPS no Estreito de Ormuz: Guerra Eletrônica em Escala
O aspecto mais inusitado do relatório, mas com enormes implicações para a segurança global, é a documentação da interferência massiva de GPS no Estreito de Ormuz. Desde o início dos ataques militares contra o Irã em 28 de fevereiro, mais de 1.100 navios experimentaram interferência nos sinais de GPS e AIS (Sistema de Identificação Automática) em águas próximas aos Emirados Árabes, Qatar, Omã e Irã.
A empresa de inteligência marítima Windward reportou que a interferência causou o aparecimento de embarcações em localizações incorretas nos mapas de navegação, incluindo em terra firme, aeroportos e até mesmo dentro de instalações sensíveis. A Bloomberg reportou que o tráfego de navios através do Estreito de Ormuz diminuiu mais de 95%, com apenas um punhado de embarcações ainda partindo do Golfo. A CNN, BBC, WIRED, Scientific American e France24 estão todos cobrindo a crise.
Analistas marítimos rastrearam mais de vinte novos clusters de interferência AIS em águas da região. Alguns petroleiros afiliados ao Ocidente desativaram seus sinais de rastreamento ou inverteram o curso. A Insurance Journal reportou pelo menos uma dúzia de clusters de navios aparecendo próximos ao Estreito, sinais claros de elevada interferência de GPS e spoofing.
Essa interferência de GPS não é um fenômeno isolado. Ela faz parte de uma estratégia mais ampla de retaliação e dissuasão do Irã, que inclui operações cibernéticas, ataques com drones e ameaças de fechamento do estreito. Como a CYFIRMA avaliou, “ao interromper os sistemas de navegação no Estreito de Ormuz, por onde passam cerca de 20% do petróleo global, o Irã pode sinalizar que tem a capacidade de ameaçar o comércio global e os fluxos de energia sem lançar imediatamente um bloqueio militar total.”
Paralelamente, provedores de serviços de nuvem reportaram que ataques com drones iranianos danificaram diversas instalações de data centers nos Emirados Árabes e no Bahrain, levando a interrupções generalizadas de serviços em nuvem na região.
Como se Proteger: Recomendações Consolidadas
Diante desse cenário multifacetado de ameaças, nós na Dolutech consolidamos as recomendações mais importantes para organizações de todos os portes e setores.
Contra ransomware (Chip, Qilin, Gentlemen)
A primeira medida fundamental é implementar e manter backups imutáveis, seguindo a regra 3-2-1-1: três cópias, dois tipos de mídia, uma cópia offsite e uma offline. Testes regulares de restauração devem ser realizados para garantir que os backups realmente funcionem quando necessário. Igualmente importante é adotar o modelo Zero Trust com autenticação multifator (MFA) em todas as contas, especialmente as privilegiadas. As organizações devem monitorar chaves de registro de inicialização automática e diretórios suspeitos como PerfLogs, ProgramData, Windows Temp e $Recycle.bin, pois o ransomware Chip utiliza esses caminhos para persistência. A implementação de regras Sigma, como as fornecidas pela CYFIRMA para detecção de novas chaves RUN apontando para pastas suspeitas, pode ajudar a identificar anomalias nos logs do sistema.
Contra infostealers (AMOS Stealer)
Para proteção contra o AMOS e ameaças similares ao macOS, as organizações devem estabelecer políticas claras sobre instalação de software e impor procedimentos de verificação antes de permitir a execução de aplicativos de fontes externas. É fundamental educar funcionários sobre técnicas de engenharia social e os riscos de instalar aplicativos não verificados, especialmente aqueles disfarçados de ferramentas de IA. A implantação de ferramentas de detecção de endpoint capazes de identificar aplicativos macOS suspeitos, binários ofuscados e comportamento anômalo do sistema é igualmente essencial. Monitore processos do sistema e diretórios de usuários para arquivos não autorizados ou ocultos, especialmente aqueles que se assemelhem a artefatos de malware conhecidos.
Contra espionagem (Salt Typhoon/UAT-9244)
Para defesa contra operações de espionagem como as do Salt Typhoon, as organizações, especialmente no setor de telecomunicações, devem priorizar o hardening de dispositivos de borda de rede (edge devices) e servidores expostos. Atualize versões do Windows Server e Microsoft Exchange Server, pois o UAT-9244 explora versões desatualizadas para implantar web shells. Monitore DLL side-loading em processos legítimos como “wsprint.exe” e conexões anômalas utilizando o protocolo BitTorrent em servidores corporativos. Implemente segmentação de rede para limitar movimentação lateral e restrinja o acesso SSH e RDP a contas essenciais. Conduza avaliações de vulnerabilidades periodicamente e mantenha um programa de resposta a vulnerabilidades de produtos.
Os IOCs Que Sua Equipe Deve Monitorar
Compartilhamos os principais Indicadores de Comprometimento (IOCs) identificados pela CYFIRMA e pelo Cisco Talos para que equipes de segurança possam implementar detecções imediatas.
Para o AMOS Stealer, os hashes de referência são: 7896a1429d7916e6c06fb160491d7a997ee56368dd11e074e33fd0682f1f7108 e 5efe3d6ff69002f2cf82683f2d866264d0836b9f02e8b52719ecbd6fecf72a62.
Para o UAT-9244/Salt Typhoon, os domínios C2 identificados incluem updata.mgil01.workers.dev, service.oneipsoft.com e myoffice.techralsolution.com. Os IPs de referência são 13.89.97.154, 114.119.158.36, 34.234.200.207, 54.225.199.17 e 23.23.103.31. Arquivos suspeitos a serem monitorados incluem ps1u_ex200822.ps1, win32.exe, win32.dll e BugSplatRc64.dll.
Conclusão: Um Cenário de Ameaças Sem Precedentes
O relatório semanal da CYFIRMA de 13 de março de 2026 pinta um quadro claro: estamos vivendo um dos períodos mais intensos da história da cibersegurança. A convergência de ameaças de ransomware em evolução, malwares cada vez mais sofisticados mirando macOS, espionagem estatal chinesa em escala global contra telecomunicações e guerra eletrônica no Estreito de Ormuz cria um cenário de risco multidimensional que afeta organizações em todos os setores e geografias.
Como a NTT DATA alertou em seu relatório publicado em 12 de março, estamos diante de uma mudança de paradigma nas ciberameaças: ataques mais persistentes, silenciosos e estratégicos. O Gartner reforça essa perspectiva ao posicionar a IA Agêntica, a criptografia pós-quântica e a volatilidade regulatória como as forças que estão redefinindo o papel do CISO em 2026.
Nós na Dolutech continuaremos acompanhando essas ameaças e trazendo análises atualizadas para que nossos leitores estejam sempre um passo à frente dos atacantes. A cibersegurança não é mais uma questão técnica isolada. É uma questão de sobrevivência operacional.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.