Hack Alerta

BlueDelta amplia campanhas de phishing contra OWA, Google e Sophos VPN

Por Redação Hack Alerta Publicado em 08/01/2026 05:03 Riscos e Ameaças Tempo de leitura: 3 min

BlueDelta, grupo associado ao GRU, intensificou campanhas de phishing direcionadas a OWA, Google e Sophos VPN, usando PDFs legítimos como isca e infraestrutura descartável para capturar credenciais. Analistas documentaram fluxo de redirecionamento e coleta automatizada de dados.

Resumo

BlueDelta — grupo ligado a operações do GRU segundo pesquisas — intensificou campanhas de roubo de credenciais ao longo de 2025, mirando usuários de Microsoft Outlook Web Access (OWA), contas Google e portas de acesso de Sophos VPN. A operação usa páginas de login falsificadas e infraestrutura descartável para capturar credenciais.

Táticas observadas

Analistas, incluindo os da Recorded Future citados nos relatórios, documentaram um fluxo de ataque em múltiplas etapas:

  • Envio de links que primeiro exibem PDFs legítimos (por exemplo, de organizações como Gulf Research Center) para aumentar confiança;
  • Redirecionamento automático para portais de login falsos que imitam OWA, Google ou Sophos;
  • Uso de serviços de hospedagem gratuitos e descartáveis — Webhook.site, InfinityFree, Byet Internet Services e ngrok — para hospedar páginas de phishing e capturar credenciais;
  • JavaScript malicioso que extrai e envia dados como endereço de e‑mail, IP e informação do navegador para servidores de comando e controle assim que a página é aberta.

Engenharia social e técnicas de evasão

Os operadores empregam documentos legítimos como isca e manipulam a URL exibida no navegador para simular caminhos como /owa/ ou /pdfviewer?pdf=browser após o envio das credenciais, o que faz a vítima acreditar que a autenticação ocorreu normalmente. Após a captura, o usuário é frequentemente redirecionado para o portal real ou para o documento original, reduzindo suspeitas imediatas.

Alvos e motivação

Nos relatórios, os alvos incluem funcionários de governo, do setor de energia e pesquisadores na Europa e Eurásia. O objetivo declarado pelas análises é a coleta de credenciais para operações de espionagem e acesso a sistemas sensíveis.

Recomendações práticas

  • Habilitar proteção contra phishing e filtros de URL nos gateways e nos provedores de e‑mail;
  • Forçar autenticação multifator (MFA) em acessos a OWA, contas Google e VPNs corporativas sempre que possível;
  • Educar usuários sobre iscas que exibem documentos legítimos antes do redirecionamento e sobre verificação rigorosa de URLs mesmo quando o portal parece correto;
  • Monitorar logs para indicações de tokens roubados, logins atípicos e uso de credenciais em novos endereços IP ou dispositivos.

Limitações

Os relatórios disponíveis descrevem técnicas e infraestrutura usadas em campanhas documentadas entre fevereiro e setembro de 2025. Não há, nos excertos públicos consultados, uma lista completa de vítimas brasileiras; portanto, a extensão do impacto no Brasil não pode ser confirmada a partir das fontes presentes.

Baseado em publicação original de Cyber Security News
Tags: #bluedelta #grupos-estado #phishing #owa #google #sophos #credenciais #recorded-future #ameaça
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar