New Data Leak Site Uncovered Linked to Active Initial Access Broker on Underground Forums
O mundo cibercriminal subterrâneo viu um desenvolvimento notável em 22 de março de 2026, quando um novo site de vazamento baseado em Tor chamado "ALP-001" apareceu na dark web, comercializando-se abertamente como um "Data Leaks / Access Market".
A evolução do modelo de extorsão
O surgimento desta plataforma aponta para uma tendência crescente onde atores de ameaças estabelecidos que tradicionalmente vendem acesso à rede corporativa estão agora se movendo para extorsão em larga escala. Analistas da ReliaQuest identificaram o ALP-001 e vincularam diretamente o grupo a um Broker de Acesso Inicial (IAB) ativo em fóruns subterrâneos proeminentes, incluindo Exploit e DarkForums.
Identificação e histórico do grupo
Por meio da comparação dos IDs Tox e Session exibidos no site de vazamento, os pesquisadores confirmaram que os mesmos identificadores de contato já estavam sendo usados por uma conta conhecida de fórum IAB. Este grupo já foi conhecido anteriormente pelos nomes "Alpha Group" e "DGJT Group", dando aos investigadores dados históricos suficientes para construir uma linha do tempo de atividade que remonta a quase dois anos.
Alvos e vetores de ataque
A superfície de ataque que este grupo visa é ampla e deliberada. O IAB lucrou historicamente com tecnologias de perímetro comprometidas, focando em infraestrutura empresarial amplamente utilizada que concede acesso profundo aos ambientes corporativos uma vez violados.
Seus vetores de ataque conhecidos abrangem servidores FTP e SSH, appliances VPN Fortinet e FortiGate, equipamentos Cisco, gateways Citrix e RDWeb, e sistemas de acesso remoto GlobalProtect. Esses alvos são escolhidos cuidadosamente porque são quase sempre voltados para a internet, carregam privilégios significativos e aparecem consistentemente em grandes organizações em todo o mundo.
Evidências de transição para extorsão
Uma peça forte de evidência corroborativa surgiu quando os analistas compararam as vítimas listadas no ALP-001 contra posts de venda de acesso anteriores em fóruns subterrâneos. Uma empresa de manufatura francesa com receitas anuais relatadas de 543 milhões de dólares, mostrada no site de vazamento como uma nova vítima, correspondeu exatamente com uma venda de acesso que a mesma conta de fórum postou em janeiro de 2026.
Essa ligação direta entre o site de vazamento e a atividade do fórum deixou pouca dúvida sobre a atribuição e confirmou a transição do grupo da venda de acesso para extorsão de dados.
Recomendações de mitigação
Os defensores que enfrentam essa ameaça devem auditar e corrigir todos os dispositivos de borda voltados para a internet, particularmente soluções Fortinet, Cisco e Citrix, pois representam os pontos de entrada mais frequentemente explorados pelo grupo.
As equipes de segurança também devem caçar sinais de acesso persistente, incluindo sessões não autorizadas, transferências de saída incomuns sobre FTP ou SCP e comportamento irregular de contas privilegiadas. A implementação de autenticação multifator em todos os pontos de acesso remoto e a realização de auditorias minuciosas de contas privilegiadas são passos críticos que as organizações devem tomar para reduzir a exposição.