Hack Alerta

Grupo 'Punishing Owl' expõe dados e usa stealer com infraestrutura no Brasil

Por Redação Hack Alerta Publicado em 02/02/2026 14:03 Cyber ataques Tempo de leitura: 3 min

O coletivo Punishing Owl publicou documentos de uma agência de segurança russa, hospedou arquivos em servidor no Brasil e enviou campanhas de BEC. Os atacantes usaram certificados TLS falsos, IMAP/SMTP próprios e o stealer ZipWhisper, distribuído por LNKs que executavam PowerShell para exfiltrar credenciais de navegadores, segundo investigação citada pelo Cyber Security News.

Um grupo que se autodenomina Punishing Owl emergiu com ações contra uma agência de segurança russa, publicando documentos internos e montando infraestrutura técnica para amplificar a divulgação do material.

Resumo dos fatos

Relato do Cyber Security News descreve que o grupo anunciou a invasão em 12 de dezembro de 2025 e publicou documentos roubados em um site de vazamento, replicando os arquivos em um repositório Mega.nz. Em seguida, os atacantes criaram um subdomínio e alteraram registros DNS da vítima para redirecionar tráfego a um servidor localizado no Brasil, onde hospedaram os arquivos e um manifesto político.

Vetores e ferramentas observadas

A matéria lista várias técnicas e componentes usados pelos atacantes: configuração de certificados TLS falsos, serviços IMAP/SMTP próprios para operações de e‑mail, e o uso do trojan/stealer denominado ZipWhisper. Mensagens fraudulentas de comprometimento foram enviadas a parceiros e contratantes da vítima a partir do servidor brasileiro, em tentativas de BEC (business email compromise).

Mecanismo de infecção

Segundo a análise citada, os e‑mails maliciosos continham arquivos ZIP protegidos por senha que incluíam atalhos (.LNK) disfarçados. Ao abrir o LNK, o sistema executava comandos PowerShell que baixavam o ZipWhisper do servidor de comando e controle em bloggoversikten[.]com. O stealer coleta credenciais de navegadores, cookies e senhas salvas, empacotando-os em arquivos ZIP temporários antes do upload para o C2.

Observações e lacunas

  • A reportagem não identifica publicamente a agência russa afetada por nome, limitando a compreensão sobre escopo e severidade institucional do comprometimento.
  • Também não há dados públicos sobre o número de hosts comprometidos ou o volume total de credenciais exfiltradas.

Implicações e medidas recomendadas

O uso combinado de manipulação DNS, infraestrutura de e‑mail própria e um stealer baseado em PowerShell destaca a necessidade de controles em múltiplas camadas. A checagem contínua de registros DNS, detecção de alterações inesperadas, bloqueio de execução de comandos PowerShell não autorizados e políticas de filtragem de e‑mail que inspecionem anexos compactados e atalhos são medidas que podem mitigar vetores descritos na matéria.

Fonte

Relato publicado pelo Cyber Security News (Tushar Subhra Dutta). A reportagem também cita análises publicadas em Habr e descrição técnica do ZipWhisper e da infraestrutura observada.

Baseado em publicação original de Cyber Security News
Tags: #punishing-owl #zipwhisper #bec #dns #stealer #powershell #bloggoversikten #habr
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar