Descoberta e escopo da operação
Um identificador persistente de dispositivo da Microsoft foi usado para desvendar o anonimato de um operador alegado do grupo Scattered Spider, de acordo com uma queixa federal superseding apresentada no Distrito Norte de Illinois. Peter Stokes, 19, cidadão duplo dos EUA-Estônia, que supostamente usou os apelidos "Bouquet", "Spencer" e "Jordan", foi preso na Finlândia em 10 de abril de 2026, enquanto tentava embarcar em um voo para o Japão.
Quando detido, ele estava carregando dois discos rígidos de dois terabytes, de acordo com o documento. Ele está sendo detido aguardando extradição e enfrenta acusações sob a Lei de Fraude e Abuso Computacional, bem como contagens de fraude por fio e conspiração. Os promotores alegam que ele é membro do Scattered Spider, também rastreado como Octo Tempest, UNC3944 e 0ktapus, um grupo ligado a mais de 100 intrusões e mais de 100 milhões de dólares em pagamentos de resgate.
Análise técnica detalhada
Documentos judiciais revelam que um Identificador Global de Dispositivo da Microsoft, ou GDID, foi central para desmascarar Stokes. Um GDID é um código único embutido em cada instalação do Windows, usado pela Microsoft para telemetria de diagnóstico, relatórios de falhas, análise de uso de recursos e verificação de licença, razão pela qual a troca de um componente de hardware importante às vezes pode revogar a ativação do Windows.
Essa durabilidade minou a segurança operacional do operador. De acordo com a queixa, a intrusão na "Empresa F", um varejista de luxo multibilionário, começou em 12 de maio de 2025, com chamadas de phishing de voz para o help desk de TI. Os atores de ameaças se passaram por funcionários, acionaram redefinições de MFA e comprometeram três contas, incluindo duas contas de administrador de TI de alto privilégio, dentro de duas a três horas.
Os atacantes então baixaram e executaram um agente ngrok em um servidor virtual da Empresa F, abrindo um túnel criptografado para contornar as defesas de perímetro. Os investigadores vincularam a conta ngrok, criada em 12 de maio às 19:21 UTC, ao endereço IP 68.235.46.168, um proxy VPN hospedado pela Tzulo em Mount Prospect, Illinois. Os dados foram finalmente exfiltrados usando Teleport.sh e Amazon S3, totalizando pelo menos 77 GB, seguidos por uma implantação de ransomware frustrada e uma demanda de extorsão de 8 milhões de dólares que não foi paga.
Os registros da Microsoft colocaram o dispositivo que carregava o GDID na página de inscrição do ngrok no exato minuto em que a conta foi criada, e posteriormente navegando no site da Empresa F através do mesmo proxy .168. A partir daí, o FBI correlacionou o histórico de IP do GDID contra contas conhecidas pertencentes a Stokes: Apple, Snapchat, Facebook e até um login de jogo Ubisoft/Growtopia.
Impacto e alcance
As sobreposições foram específicas. O mesmo dispositivo e as mesmas contas pessoais surgiram em IPs idênticos geolocalizados em Tallinn, Estônia; Nova York; e Tailândia, cada um correspondendo aos registros de viagem do Departamento de Estado de Stokes e às suas próprias postagens em redes sociais de hotéis de luxo. A VPN mascarou o endpoint de rede, mas o identificador de instalação do Windows não girou com ele.
O caso é um lembrete de que a infraestrutura de anonimato protege a camada de rede, não o endpoint. Não há política publicada abrangente da Microsoft detalhando quando os dados GDID são compartilhados com as forças da lei, nenhum mecanismo de opt-out conhecido para consumidores e nenhum relatório de transparência que divida especificamente as divulgações GDID.
Medidas de mitigação recomendadas
Para profissionais de segurança, este caso destaca a importância de entender como os identificadores de dispositivo podem ser usados para rastreamento forense. Embora o GDID seja projetado para diagnóstico, sua persistência pode comprometer o anonimato em cenários de ataque.
- Monitoramento de endpoint: Equipes de SOC devem monitorar atividades de dispositivos que mostram padrões de comportamento suspeitos correlacionados com identidades digitais.
- Proteção de identidade: Usuários e administradores devem estar cientes de que identificadores de sistema podem ser usados para correlacionar atividades através de diferentes serviços.
- Resposta a incidentes: Em investigações de segurança, considerar a correlação de identificadores de dispositivo com logs de rede e atividades de conta.
Implicações para CISOs e governança
Este incidente reforça a necessidade de políticas claras sobre telemetria e identificação de dispositivos em ambientes corporativos. A capacidade de rastrear dispositivos através de identificadores persistentes tem implicações para a privacidade e para a segurança da informação. A LGPD pode exigir transparência sobre como dados de telemetria são usados e compartilhados, especialmente em investigações de segurança.
Perguntas frequentes
O que é o GDID? É um Identificador Global de Dispositivo da Microsoft, um código único embutido em cada instalação do Windows.
Como o GDID foi usado na investigação? Ele foi usado para correlacionar a atividade de rede e contas pessoais com o dispositivo usado pelo suspeito.
Isso afeta a privacidade dos usuários? Sim, o caso levanta questões sobre a persistência de identificadores de dispositivo e seu uso em investigações de segurança.