Neste artigo do blog Dolutech, trazemos um alerta de máxima prioridade identificado pela nossa equipe de inteligência de ameaças durante monitoramento ativo de fóruns cibercriminosos. Em 25 de março de 2026, nossos pesquisadores de segurança identificaram uma postagem oficial publicada no BreachForums pelo perfil “[Owner]vect”, proprietário e operador do grupo de ransomware Vect, anunciando uma aliança tripla entre o Vect Ransomware Group, o BreachForums e o TeamPCP, o grupo responsável pelos ataques massivos de supply chain contra Trivy, Checkmarx e LiteLLM que abalaram o ecossistema de código aberto nesta mesma semana.
Na postagem, classificada como “momento histórico para a comunidade underground”, o operador do Vect declara que a partir de agora cada membro do BreachForums receberá uma chave pessoal de afiliação ao programa de ransomware Vect, para ativação imediata. Isso significa que os mais de 300 mil membros registrados no BreachForums passam a ter acesso direto à infraestrutura de ransomware do Vect, com suporte técnico da equipe do grupo para quem tiver dificuldade em implantar o malware. A postagem ainda confirma que o Vect Ransomware Group está agora em parceria formal com o TeamPCP, os operadores por trás dos recentes comprometimentos de supply chain do Trivy e do LiteLLM, e que juntos pretendem “transformar essas invasões de cadeia de suprimentos em campanhas devastadoras de ransomware”.
As palavras exatas do anúncio são inequívocas: “We will pull off even bigger supply chain operations. We will chain these compromises into devastating follow-on ransomware campaigns. We will create history that the entire cybersecurity industry will talk about for years to come.” Nós da Dolutech consideramos este anúncio uma das convergências mais perigosas já registradas no ecossistema de cibercrime em 2026.
Quem é o Vect Ransomware Group
O Vect é um grupo de ransomware emergente que opera no modelo Ransomware-as-a-Service (RaaS), identificado pela primeira vez em dezembro de 2025 quando publicou um anúncio de recrutamento de afiliados em um fórum cibercriminoso de língua russa. As operações ativas começaram em janeiro de 2026 e o grupo rapidamente evoluiu para a versão 2.0, demonstrando maturidade operacional surpreendente para uma operação tão recente.
Conforme análise detalhada publicada pela Halcyon Ransomware Research Center e pelo Data Security Council of India (DSCI), o Vect 2.0 foi desenvolvido de forma independente em C++, sem reutilizar código-fonte vazado de outros grupos como LockBit ou Conti. O malware opera em três plataformas: Windows, Linux e VMware ESXi. Na versão Windows, utiliza criptografia ChaCha20-Poly1305 AEAD com criptografia intermitente (encriptando apenas porções dos arquivos para maximizar velocidade), reinicia o sistema em Safe Mode para suprimir soluções de segurança e se propaga automaticamente pela rede via SMB e WinRM usando credenciais de Domain Admin incorporadas diretamente no payload. O ransomware também é capaz de acessar discos virtuais VHD, encerrar processos de segurança e backup e utilizar um VM Crypter/Packer integrado para evasão de detecção baseada em assinaturas.
A infraestrutura do Vect opera exclusivamente via TOR, com três componentes distintos: um portal de onboarding de afiliados, uma plataforma de comunicação com vítimas e um site público para publicação de dados roubados. O programa de afiliados oferece um modelo de cinco tiers de compartilhamento de receita, negociadores dedicados, suporte via tickets e interfaces multilíngues. A taxa de entrada é de US$ 250, pagáveis em Monero (XMR), mas é isentada para candidatos de países da Comunidade de Estados Independentes (CIS), padrão característico de operações russófonas. Toda comunicação é realizada pelo protocolo TOX.
Até o final de fevereiro de 2026, o DSCI reportou 20 vítimas ativas no painel do Vect 2.0, sendo 6 com dados publicados e 14 em negociação. A plataforma Ransomware.live registra 23 vítimas conhecidas. Os setores mais afetados são manufatura, educação, saúde e tecnologia, com concentração geográfica no Brasil (4 vítimas), Estados Unidos (4), Índia (3) e África do Sul (2). Entre as vítimas brasileiras confirmadas está a Universidade Federal de Sergipe, atacada em janeiro de 2026 com alegação de exfiltração de 150 GB de dados. O Vect também publicou dados de vítimas em plataformas como o BreachForums, conforme documentado pelo DSCI.
Quem é o BreachForums
O BreachForums é o maior e mais notório fórum de cibercrime em língua inglesa do mundo. Nasceu em 2022 como sucessor do RaidForums, após o desmantelamento deste pelo FBI. Seu fundador original, Conor Brian Fitzpatrick (conhecido como “Pompompurin”), foi preso em março de 2023 e condenado. O fórum foi posteriormente administrado pelo operador “Baphomet” e pelo grupo ShinyHunters, servindo como marketplace central para compra e venda de dados vazados, credenciais roubadas, ferramentas de hacking, serviços de ransomware e acesso a sistemas comprometidos.
O fórum foi apreendido pelo FBI e pelo Departamento de Justiça dos EUA em pelo menos duas ocasiões: em maio de 2024 e novamente em outubro de 2025, nesta última em cooperação com a BL2C francesa. Em janeiro de 2026, a base de dados do próprio BreachForums foi vazada, expondo informações de aproximadamente 324 mil contas de usuários registrados. Apesar das repetidas operações policiais, o fórum tem demonstrado uma capacidade persistente de ressurgir, e é nesta versão reativada que a postagem de parceria com o Vect foi publicada.
A base de usuários do BreachForums é vasta e inclui desde script kiddies até operadores avançados de ransomware, corretores de acesso inicial (initial access brokers), desenvolvedores de malware e grupos de espionagem. O anúncio do Vect de que todos os membros do BreachForums receberão chaves de afiliação ao programa de ransomware representa uma democratização sem precedentes do acesso a ferramentas de extorsão digital.
Quem é o TeamPCP
O TeamPCP é o grupo responsável pela campanha de supply chain mais devastadora de março de 2026, que está em plena atividade no momento da publicação deste artigo. A campanha começou em 19 de março de 2026 com o comprometimento do Trivy, o popular scanner de vulnerabilidades da Aqua Security, e se expandiu rapidamente para atingir os GitHub Actions da Checkmarx, pacotes no npm, PyPI e extensões no OpenVSX.
Conforme reportado pelo The Hacker News, Sysdig, Microsoft, BleepingComputer, Kaspersky, Datadog, Snyk, Reversing Labs, Legit Security e Endor Labs, a campanha do TeamPCP funciona da seguinte forma: os atacantes comprometeram os workflows de GitHub Actions do Trivy (CVE-2026-33634, CVSS 9.4) injetando um infostealer denominado “TeamPCP Cloud stealer” que coleta credenciais de SSH, Git, AWS, Google Cloud, Azure, Kubernetes, Docker, arquivos .env, bancos de dados, VPNs, configurações de CI/CD, carteiras de criptomoedas e URLs de webhooks do Slack e Discord. Os dados são exfiltrados via arquivo criptografado “tpcp.tar.gz” para domínios de typosquatting que imitam os fornecedores legítimos.
A partir das credenciais roubadas do Trivy, o TeamPCP comprometeu os GitHub Actions da Checkmarx (checkmarx/ast-github-action e checkmarx/kics-github-action), publicou extensões trojanizadas no OpenVSX e, em 24 de março de 2026, comprometeu os pacotes LiteLLM nas versões 1.82.7 e 1.82.8 no PyPI, inserindo payloads maliciosos que roubam credenciais e se propagam em clusters Kubernetes. Em sistemas não-CI, o malware instala persistência via serviço systemd e consulta um servidor de comando e controle a cada 50 minutos para payloads adicionais.
O alcance desta campanha é extraordinário: Trivy tem milhões de downloads, LiteLLM é amplamente utilizado em aplicações de inteligência artificial, e os GitHub Actions da Checkmarx são integrados em pipelines de CI/CD de milhares de empresas. A Microsoft publicou um guia específico de detecção e investigação para o comprometimento do Trivy, evidenciando a gravidade do incidente.
A convergência: por que esta aliança é tão perigosa
O anúncio identificado pelos nossos pesquisadores da Dolutech representa a convergência de três capacidades complementares em uma única operação coordenada.
O BreachForums fornece a base de recrutamento massiva, com centenas de milhares de membros ativos, a infraestrutura de comunicação e venda de dados e o acesso a corretores de acesso inicial que vendem credenciais comprometidas de empresas em todo o mundo. O Vect Ransomware Group fornece a plataforma de ransomware-as-a-service com malware multiplataforma customizado, infraestrutura de negociação, suporte técnico a afiliados e capacidade de criptografia e exfiltração. O TeamPCP fornece a capacidade de comprometimento de supply chain em escala industrial, com acesso potencial a credenciais de milhares de organizações que utilizam Trivy, Checkmarx e LiteLLM em seus pipelines de desenvolvimento.
A postagem no BreachForums deixa explícita a intenção de transformar os comprometimentos de supply chain do TeamPCP em campanhas de ransomware do Vect. Em termos práticos, isso significa que credenciais de nuvem, tokens de acesso, chaves SSH e segredos de CI/CD roubados pela campanha do TeamPCP contra Trivy, Checkmarx e LiteLLM podem ser utilizados como vetores de acesso inicial para implantação do ransomware Vect em larga escala. Organizações que utilizam qualquer um desses projetos comprometidos e que não rotacionaram suas credenciais estão em risco imediato.
Este modelo de “supply chain to ransomware” representa uma evolução qualitativa no ecossistema de cibercrime. Historicamente, ataques de supply chain e operações de ransomware eram conduzidos por grupos distintos com motivações diferentes. A fusão dessas capacidades em uma aliança formal é inédita nessa escala e potencializa drasticamente o impacto de ambas as operações.
Indicadores de comprometimento (IOCs)
Com base nas análises publicadas pela Halcyon, DSCI, Sysdig, The Hacker News e Microsoft, compilamos os indicadores de comprometimento relevantes para esta aliança.
Relacionados ao Vect Ransomware: o IP 158.94.210.11 (porta 8000) foi identificado como possível infraestrutura C2; os executáveis svc_host_update.exe (Windows) e enc_esxi.elf (Linux/ESXi) são os binários do ransomware; os arquivos VECT_RECOVERY_GUIDE.txt e README_VECT.html são as notas de resgate; a extensão .vect é adicionada aos arquivos criptografados; o endereço de e-mail Qilin[@]exploit[.]im é usado para comunicação; o endereço Monero 876yVkL4S7p5rWKbTxHs6e7gbTeqqas4AcC6WwMZ1d8r0B31jYBzqJFHJ88E33cYcc3jfKjQcBp3oqN8bLEan2JTzYkyq8RdVAkTv é utilizado no recrutamento de afiliados; e o serviço TOR bu7zr6fotni3qxxoxlcmpikwtp5mjzy7jkxt7akflnm2kwkbdtgtjuid[.]onion hospeda a infraestrutura.
Relacionados ao TeamPCP: os domínios scan.aquasecurity[.]org e checkmarx[.]zone são usados para exfiltração de dados; o arquivo tpcp.tar.gz é o pacote de dados exfiltrados; repositórios GitHub com nomes “tpcp-docs” ou “docs-tpcp” indicam exfiltração bem-sucedida; as versões 1.82.7 e 1.82.8 do pacote litellm no PyPI estão comprometidas; e as extensões ast-results versão 2.53.0 e cx-dev-assist versão 1.7.0 no OpenVSX estão trojanizadas.
Recomendações imediatas
A Dolutech recomenda que todas as organizações adotem as seguintes medidas com urgência.
Para quem utiliza Trivy, Checkmarx ou LiteLLM: rotacione imediatamente todos os segredos, tokens e credenciais de nuvem que estavam acessíveis aos runners de CI durante o período afetado (a partir de 19 de março de 2026). Audite os logs de execução de GitHub Actions buscando referências a tpcp.tar.gz, scan.aquasecurity[.]org ou checkmarx[.]zone. Procure repositórios com os nomes “tpcp-docs” ou “docs-tpcp” na organização GitHub, pois indicam exfiltração consumada. Fixe os GitHub Actions em SHAs completos de commits em vez de tags de versão. Monitore conexões de saída dos runners de CI para domínios suspeitos. Atualize o LiteLLM para versões posteriores às comprometidas e verifique hashes de pacotes.
Para proteção contra o ransomware Vect: monitore modificações no bcdedit relacionadas a safeboot network e reinicializações em Safe Mode, que são o principal mecanismo de evasão do Vect. Implemente segmentação de rede rigorosa, isolando hosts ESXi, controladores de domínio e servidores de backup. Mantenha backups na regra 3-2-1 com pelo menos uma cópia air-gapped e realize testes de restauração mensais. Aplique MFA forte em todos os acessos privilegiados e remotos, especialmente Fortinet e VPNs, considerando que o grupo foi observado solicitando credenciais comprometidas de Fortinet em fóruns russófonos. Bloqueie os IOCs listados acima nos perímetros da rede. Implemente soluções de EDR/XDR com capacidade de detecção de criptografia intermitente.
Para conscientização geral: considere que a combinação de supply chain comprometida com ransomware multiplataforma torna qualquer organização que utilize pipelines de CI/CD com dependências de código aberto um alvo potencial. Revise todas as dependências de terceiros e implemente verificação de integridade para packages e actions.
Contexto: a era dos cartéis de ransomware
Esta aliança entre Vect, BreachForums e TeamPCP se insere em uma tendência mais ampla de “cartelização” do ecossistema de ransomware. Em outubro de 2025, o Dark Reading e a ReliaQuest reportaram a formação de um cartel entre LockBit, Qilin e DragonForce, com compartilhamento de infraestrutura e técnicas. A Huntress identificou essa tendência como uma das principais ameaças para 2026 em seu relatório de tendências de ransomware. A diferença é que, enquanto o cartel LockBit-Qilin-DragonForce representa a aliança entre três operações de ransomware maduras, a aliança Vect-BreachForums-TeamPCP combina ransomware, marketplace de cibercrime e capacidade de supply chain attack em uma estrutura integrada que pode escalar com uma velocidade sem precedentes.
Considerações finais
A Dolutech identificou, por meio de nossas pesquisas de inteligência de ameaças, o que consideramos um dos anúncios mais alarmantes do ecossistema de cibercrime em 2026. A aliança formal entre o Vect Ransomware Group, o BreachForums e o TeamPCP cria uma cadeia de ataque integrada que vai desde o comprometimento de supply chain de ferramentas de desenvolvimento amplamente utilizadas, passando pela exfiltração massiva de credenciais, até a implantação de ransomware multiplataforma em larga escala, tudo suportado pela maior base de cibercriminosos do mundo anglófono.
Nós da Dolutech continuaremos monitorando ativamente esta aliança e publicaremos atualizações à medida que novas informações forem identificadas. A recomendação para todas as organizações é clara: tratem este alerta com a máxima prioridade, rotacionem credenciais, auditem pipelines de CI/CD e reforcem as defesas contra ransomware imediatamente. O tempo de resposta é agora.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.