Uma botnet que opera desde 2011 voltou a chamar a atenção da comunidade de segurança cibernética, não por ser nova, mas por sua capacidade de se reinventar continuamente. A Phorpiex, também conhecida como Trik, evoluiu de uma ferramenta básica de spam para uma plataforma criminal em larga escala capaz de entregar ransomware, enviar e-mails de extorsão sexual para milhões de vítimas e roubar criptomoedas de computadores infectados simultaneamente.
A variante Twizt e a rede peer-to-peer
A versão mais recente, conhecida como variante Twizt, tornou-se mais difícil de conter do que nunca. Ela combina servidores tradicionais de comando e controle (C2) com uma rede peer-to-peer (P2P), o que significa que, mesmo que um servidor seja derrubado, a botnet continua operando porque as máquinas infectadas falam diretamente entre si.
A botnet atualmente opera entre 70.000 e 80.000 dispositivos ativos por dia, e mais de 1,7 milhão de endereços IP únicos foram rastreados nos últimos 90 dias. Os países mais afetados são Irã, Uzbequistão, China, Cazaquistão e Paquistão. Pesquisadores da Bitsight notaram que a Phorpiex realiza simultaneamente três operações criminais principais: entrega em massa de ransomware, campanhas de e-mail de extorsão sexual em larga escala e sequestro de carteiras de criptomoedas em tempo real.
Campanhas agressivas de ransomware
As campanhas de ransomware têm sido particularmente agressivas. Em outubro de 2025, a Phorpiex foi usada para entregar o ransomware LockBit Black a dispositivos confirmados dentro de redes corporativas ou domínios Windows. Em janeiro de 2026, uma cepa semelhante à família de ransomware Global foi implantada contra dispositivos na China, usando uma API de consulta de IP pública para verificar a localização do alvo antes de soltar o payload.
Uma campanha de acompanhamento logo após atingiu máquinas em 21 países, incluindo Estados Unidos, Reino Unido, Alemanha, França e vários outros. Cada campanha de spam é estimada em atingir entre 2 milhões e 6 milhões de endereços de e-mail. A capacidade de direcionar ataques específicos por geolocalização demonstra um nível sofisticado de inteligência de ameaças.
Extorsão sexual e criptomoedas
Ao lado do ransomware, a mesma infraestrutura de botnet entrega e-mails de extorsão sexual que afirmam falsamente que os hackers gravaram as vítimas através de suas webcams enquanto visitavam sites explícitos, exigindo 1.800 dólares em Bitcoin para manter as filmagens privadas. Essas mensagens são elaboradas para assustar os destinatários a pagar rapidamente e circulam desde pelo menos 2023, com o valor exigido subindo constantemente ao longo do tempo.
Além disso, a botnet realiza roubo silencioso de criptomoedas de computadores infectados, utilizando técnicas de clipping de criptomoedas que interceptam endereços de carteira na área de transferência do usuário, redirecionando fundos para carteiras controladas pelos criminosos.
Como a botnet persiste e se esconde
Uma vez que um dispositivo é infectado, a Phorpiex rapidamente estabelece um forte ponto de apoio e começa a trabalhar para permanecer invisível. Ela se copia para diretórios do sistema e escreve uma chave de registro de inicialização automática para garantir que reinicie após cada reinicialização. O malware também se espalha para unidades USB removíveis e pastas de rede compartilhadas, deixando um executável oculto chamado DrvMgr.exe junto com um arquivo de atalho disfarçado (.lnk) que inicia a Phorpiex em qualquer máquina onde a unidade infectada é conectada.
Para evitar a detecção, o malware adiciona silenciosamente a si mesmo à lista de programas permitidos no Firewall do Windows sob o nome Microsoft Corporation, fazendo com que pareça um componente do sistema confiável. Ele também usa API Hashing para ocultar as funções do Windows que chama em tempo de execução e constrói strings suspeitas na memória byte por byte para contornar scanners de segurança estáticos.
Recomendações de mitigação
As organizações são fortemente aconselhadas a bloquear os endereços IP conhecidos de C2 da Phorpiex, monitorar alterações inesperadas na chave de registro de inicialização automática e restringir o acesso a dispositivos USB em máquinas corporativas. Desativar o UPnP em roteadores de rede, manter os sistemas operacionais totalmente atualizados e implantar soluções de filtragem de e-mail em camadas podem reduzir significativamente o risco de infecção.
Todos os indicadores de comprometimento (IOCs) e endereços de carteira de criptomoeda relacionados estão disponíveis publicamente no Malware Bazaar sob a tag dropped-by-phorpiex. A análise de tráfego de rede para conexões P2P incomuns também pode ajudar na detecção precoce de atividades da botnet.