Um grupo de cibercriminosos conhecido como Velvet Tempest está explorando anúncios maliciosos e mecanismos falsos de verificação para invadir redes corporativas e instalar malwares avançados. O alerta foi divulgado pela MalBeacon, que monitorou a atividade do grupo por 12 dias em um ambiente simulado com mais de 3 mil dispositivos.
Quem é o grupo Velvet Tempest
Também identificado como DEV-0504, o Velvet Tempest atua há pelo menos cinco anos no ecossistema de ransomware — tipo de ataque que bloqueia arquivos e exige pagamento para liberação. O grupo opera como afiliado, utilizando ferramentas desenvolvidas por terceiros e dividindo os lucros dos resgates.
Ao longo dos anos, esteve ligado a campanhas envolvendo famílias conhecidas como Ryuk, REvil, Conti, LockBit e outras.
A porta de entrada: anúncios e CAPTCHA falso
O ataque começa com malvertising, quando criminosos pagam por anúncios online que direcionam a vítima para páginas fraudulentas. Nessas páginas, dois elementos são combinados para enganar o usuário:
- Um CAPTCHA falso, simulando uma verificação de segurança
- A técnica ClickFix, que orienta a vítima a abrir o comando “Executar” do Windows (Win+R) e colar um código já copiado automaticamente
Ao seguir as instruções, o usuário executa, sem perceber, um comando malicioso no próprio sistema.
Evasão usando ferramentas do próprio Windows
O código executado é ofuscado, dificultando sua identificação. A partir daí, o ataque evolui utilizando ferramentas legítimas do sistema operacional, estratégia conhecida como “Living off the Land”.
Um exemplo é o uso do utilitário finger.exe, pouco monitorado, para baixar os primeiros arquivos maliciosos. Esses arquivos iniciais, chamados loaders, servem para trazer outros malwares mais complexos para dentro da máquina.
Ataque controlado por humanos
Após o acesso inicial, operadores assumem o controle manual do ambiente — prática conhecida como “hands-on keyboard”. Isso permite adaptação em tempo real e aumenta a eficácia da invasão.
Dentro da rede, o grupo realiza reconhecimento do Active Directory, sistema da Microsoft usado para gerenciar usuários e permissões. Com isso, os invasores identificam contas privilegiadas e caminhos para expandir o ataque.
Também foi identificado o uso de scripts em PowerShell para roubo de credenciais armazenadas no Google Chrome, ampliando o acesso dos criminosos.
Malware avançado e difícil de detectar
Nos estágios finais, dois malwares principais são implantados:
- DonutLoader: executa código diretamente na memória, sem criar arquivos no disco, dificultando a detecção
- CastleRAT: permite controle remoto completo da máquina, incluindo acesso a arquivos, execução de comandos e captura de dados
Além disso, componentes foram instalados em diretórios legítimos do sistema para garantir persistência mesmo após reinicializações.
Extorsão ainda não foi concluída
O modelo típico do Velvet Tempest envolve dupla extorsão: roubo de dados seguido de criptografia dos sistemas. No entanto, nesse caso específico, o ransomware final não chegou a ser ativado.
Segundo a MalBeacon, não está claro se o ataque foi interrompido a tempo ou se o grupo ainda estava em fase de preparação.
Alerta para empresas
O caso reforça como ataques modernos estão cada vez mais sofisticados, explorando comportamento humano e ferramentas legítimas para evitar detecção. A combinação de engenharia social com técnicas avançadas torna esse tipo de ameaça especialmente perigoso para organizações.
