Criminosos usam ferramentas de IA para acesso total a domínios em menos de 30 minutos
O cenário de ameaças cibernéticas em 2025 foi marcado por uma aceleração dramática na velocidade dos ataques, impulsionada pelo uso malicioso de ferramentas de inteligência artificial amplamente disponíveis. De acordo com o Relatório Global de Ameaças 2026 da CrowdStrike, criminosos utilizaram automação e scripts gerados por máquina para reduzir o tempo entre o acesso inicial e o controle total do domínio para menos de 30 minutos, registrando um aumento de 89% nos ataques por adversários habilitados por IA em relação ao ano anterior.
Aceleração sem precedentes
O tempo médio de "breakout" para crimes eletrônicos — o intervalo entre obter acesso inicial e mover-se lateralmente para outros sistemas — caiu para 29 minutos, um aumento de velocidade de 65% em relação a 2024. O breakout mais rápido registrado levou apenas 27 segundos. Em um caso documentado, a exfiltração de dados começou em apenas quatro minutos após o primeiro acesso, deixando às organizações quase nenhum tempo para reagir.
Os métodos por trás dessa aceleração estão profundamente ligados ao abuso de IA. Os adversários não apenas construíram malware personalizado, mas também injetaram prompts maliciosos em ferramentas de IA legítimas em execução dentro de ambientes das vítimas. Em agosto de 2025, atacantes incorporaram JavaScript malicioso em pacotes do Node Package Manager (npm), sequestrando ferramentas de IA locais das vítimas, como Claude e Gemini, para roubar credenciais de autenticação e ativos de criptomoeda.
Casos emblemáticos e técnicas
Um caso notável envolveu o grupo de eCrime CHATTY SPIDER, que alvejou um escritório de advocacia sediado nos EUA através de voice phishing (vishing). O grupo convenceu um funcionário a conceder acesso remoto via Microsoft Quick Assist. Dentro de quatro minutos, o CHATTY SPIDER tentou enviar arquivos roubados para uma infraestrutura controlada pelos atacantes usando o WinSCP. Quando o firewall bloqueou a tentativa, o atacante pivotou para o Google Drive. A equipe CrowdStrike OverWatch interrompeu a exfiltração antes que qualquer dado deixasse a rede.
Além de operações individuais, grupos como o FAMOUS CHOLLIMA construíram pipelines de ataque assistidos por IA em múltiplas fases. Eles usaram ferramentas como ChatGPT, Gemini, GitHub Copilot e VSCodium para criar personas falsas, gerenciar múltiplas contas e executar tarefas técnicas enquanto operavam sob identidades fraudulentas. Sua atividade em 2025 dobrou em comparação com 2024, refletindo como a IA reduziu o esforço necessário para executar operações enganosas em larga escala.
Armamento de IA através da cadeia de morte
O PUNK SPIDER, o adversário de ransomware mais ativo em 2025 com 198 intrusões documentadas, usou scripts gerados pelo Gemini para extrair credenciais de bancos de dados do Veeam Backup & Replication e provavelmente confiou em scripts gerados pelo DeepSeek para encerrar serviços e destruir evidências forenses.
O ator de nexus russo FANCY BEAR implantou o malware LAMEHUG, que consultou o LLM Hugging Face Qwen2.5-Coder-32B-Instruct através de prompts embutidos no código para realizar reconhecimento e coletar documentos antes da exfiltração. Esta abordagem substituiu a lógica de código rígida por saídas geradas por IA, evadindo ferramentas de segurança estáticas. Notavelmente, 82% de todas as detecções de 2025 foram "malware-free", significando que a maioria dos ataques se movimentou por caminhos autorizados em vez de software malicioso tradicional.
Implicações e defesas necessárias
Esta evolução representa uma mudança fundamental na postura defensiva necessária. A velocidade reduz drasticamente a janela para detecção e resposta humana. Organizações devem adaptar suas estratégias para este novo normal:
- Monitoramento de uso de IA em endpoints: Implementar soluções que possam detectar comportamentos anômalos ou uso não autorizado de ferramentas de IA em estações de trabalho e servidores.
- Aplicação imediata de patches: Manter plataformas de IA e suas dependências atualizadas com os patches de segurança mais recentes.
- Auditoria de dependências: Revisar regularmente as dependências de software, como pacotes npm, para componentes maliciosos ou comprometidos.
- Visibilidade cruzada: Manter visibilidade unificada através de domínios de identidade, nuvem e ambientes SaaS para detectar movimentos laterais rápidos antes que ocorra o breakout.
- Automação de resposta: Investir em automação de orquestração de segurança (SOAR) para responder a incidentes em escala de minutos, não horas.
A weaponização de ferramentas de IA democratizou capacidades avançadas de ataque, permitindo que grupos menos sofisticados executem operações complexas e rápidas. A defesa eficaz exigirá uma combinação de tecnologia avançada, processos ágeis e conscientização humana contínua.