O hacker apelidado de “Fantasma”, preso pela polícia durante a Operação Intruder em maio de 2026, teria operado uma estrutura sofisticada de invasão cibernética baseada em malware do tipo RAT, inteligência artificial, servidores próprios e técnicas avançadas para escapar de sistemas de defesa.
Embora o apelido tenha ganhado notoriedade, “Fantasma” não era a assinatura usada pelo suspeito no submundo digital. Segundo autoridades, o nome foi adotado pela própria investigação para descrever a dificuldade de rastrear sua atuação em ambientes como deep web e dark web.
O investigado, identificado apenas como Leonardo, é apontado pela polícia como um profissional de tecnologia com experiência desde os anos 1990, incluindo atuação em bancos e redes digitais.
Operação Intruder prendeu suspeito, mas ele responde em liberdade
A operação foi conduzida pela Polícia Civil do Estado de São Paulo em conjunto com a Polícia Civil de Minas Gerais.
Segundo as investigações, Leonardo teria explorado vulnerabilidades de sistemas para roubar dados, credenciais e informações sigilosas de órgãos públicos e empresas privadas.
Apesar da prisão, ele não permaneceu em regime fechado.
Entre as medidas impostas pela Justiça estão:
- Monitoramento eletrônico;
- Recolhimento domiciliar noturno;
- Retenção do passaporte;
- Suspensão da CNH;
- Proibição de uso de dispositivos conectados à internet sem autorização judicial.
Malware funcionava como um “controle remoto” do computador
Segundo análise do especialista Gabriel Alves, da empresa ZenoX, o código associado ao caso seria um RAT (Remote Access Trojan) desenvolvido em Java.
Na prática, trata-se de um malware capaz de transformar o computador da vítima em uma máquina controlada remotamente.
Após infectar o sistema, o malware:
- Criava persistência no Windows;
- Copiava a si mesmo para inicialização automática;
- Se disfarçava como “Java.jar”;
- Reiniciava automaticamente sempre que o computador era ligado.
Isso garantia acesso contínuo ao ambiente comprometido.
Comunicação com servidor remoto permitia executar comandos
O malware se conectava periodicamente a um servidor de comando e controle (C2), identificado como “bbboab[.]com”.
Segundo Gabriel Alves, o trojan recebia comandos remotos, executava tarefas via terminal do Windows e retornava os resultados ao operador.
Na prática, isso permitiria:
- Executar comandos remotamente;
- Roubar arquivos e credenciais;
- Instalar outros malwares;
- Movimentar-se lateralmente pela rede;
- Implantar ransomware.
Ransomware é um tipo de malware usado para sequestrar sistemas e criptografar arquivos, normalmente exigindo pagamento para liberação.
Técnica de DGA ajudava o malware a “sumir”
Outro detalhe técnico identificado foi o uso de DGA (Domain Generation Algorithm).
A técnica permite gerar automaticamente novos domínios usados para comunicação entre malware e operador.
Em vez de depender sempre do mesmo endereço online, o sistema cria novos domínios com base em cálculos matemáticos e datas.
Isso dificulta:
- Bloqueios por DNS;
- Detecção por antivírus;
- Derrubada da infraestrutura criminosa;
- Rastreamento do operador.
Segundo especialistas, esse mecanismo é comum em malwares avançados usados para evasão de defesa.
Malware fazia contatos discretos a cada nove horas
A análise aponta ainda que o malware realizava pulsos de comunicação aproximadamente a cada nove horas.
Esse intervalo relativamente longo ajudaria a reduzir comportamento suspeito e escapar de mecanismos automáticos de monitoramento de rede.
Segundo especialistas, esse padrão aumenta a persistência da ameaça e reduz a chance de identificação precoce.
Java foi escolhido de propósito
De acordo com Gabriel Alves, a escolha da linguagem Java não aconteceu por acaso.
Grande parte da infraestrutura bancária utiliza Java no backend, além de frameworks corporativos amplamente adotados no setor financeiro.
Segundo ele, o malware era distribuído disfarçado como atualização do Java, mirando especialmente desenvolvedores e profissionais de TI ligados a bancos e grandes empresas.
O analista afirma ainda que pelo menos cinco dos maiores bancos brasileiros teriam sido afetados, embora detalhes permaneçam sob sigilo por causa da investigação.
IA teria sido usada para criar golpes internos sofisticados
Um dos aspectos mais sofisticados atribuídos ao grupo envolve o uso de inteligência artificial para analisar comunicações corporativas.
Segundo o analista, após obter acesso ao ambiente da empresa, os criminosos:
- Liavam e-mails internos;
- Identificavam padrões de escrita;
- Mapeavam fluxos financeiros;
- Detectavam datas de pagamento;
- Identificavam responsáveis do setor financeiro.
Com essas informações, o grupo supostamente criava campanhas de phishing altamente convincentes simulando comunicações legítimas da empresa.
Os criminosos poderiam inclusive bloquear remetentes originais e se passar por suporte interno de TI.
Hacker mantinha data center próprio em Minas Gerais
A investigação também revelou que o suspeito mantinha um data center em Belo Horizonte usado para armazenar grandes quantidades de dados roubados.
Segundo especialistas, esse tipo de infraestrutura indica alto grau de profissionalização.
No mercado clandestino de cibercrime, atores que invadem sistemas e vendem acesso para outros grupos são classificados como IABs (Initial Access Brokers), ou agentes de acesso inicial.
Esses operadores normalmente:
- Invadem empresas;
- Mantêm persistência silenciosa;
- Vendem acessos prontos;
- Facilitam ataques posteriores de ransomware.
Como empresas podem reduzir riscos
Especialistas recomendam uma combinação de tecnologia, monitoramento e treinamento para reduzir exposição a ameaças semelhantes.
Entre as medidas sugeridas estão:
- Atualizar sistemas e softwares constantemente;
- Exigir autenticação multifator (MFA);
- Treinar funcionários contra phishing;
- Evitar exposição direta de RDP e SSH;
- Aplicar princípio do menor privilégio;
- Segmentar redes internas;
- Monitorar vazamentos na dark web;
- Realizar pentests frequentes;
- Validar domínios e comunicações suspeitas;
- Bloquear IPs e domínios associados a infraestrutura maliciosa.
O caso do “Fantasma” reforça uma mudança importante no cenário do cibercrime: grupos altamente especializados já operam quase como empresas, combinando malware sofisticado, automação, inteligência artificial e infraestrutura própria para ampliar ataques e monetizar acessos clandestinos.
