Logo TecMundo
Segurança

O script criminoso do 'Hacker Fantasma' preso no Brasil

Exclusivo — TecMundo teve acesso ao script usado pelo 'Hacker Fantasma', preso no começo de maio pela Polícia Civil de São Paulo e de Minas Gerais.

Avatar do(a) autor(a): Felipe Payão
Felipe Payão

schedule25/05/2026, às 19:03

updateAtualizado em 25/05/2026, às 19:39

O hacker “Fantasma” foi preso na Operação Intruder pela Polícia Civil de São Paulo e de Minas Gerais no começo de maio de 2026. Até o momento, foi divulgado apenas que seu nome seria Leonardo. Curiosamente, “Fantasma” não é a assinatura de seus delitos, modus operandi de cibercriminosos — “Fantasma” é como a própria polícia se referia ao ator.

Leonardo é chamado assim pela suposta ação criminosa em ambientes como a deep e dark web — camadas desindexadas da internet que podem ser utilizadas para venda e compra de dados fraudulentos, malwares e vulnerabilidades de sistemas. Tais ambientes dificultam a localização e identificação de usuários por conta de roteamento, criptografias, falta de IP, VPNs etc. Então, por isso, “Fantasma”.

smart_display

Nossos vídeos em destaque

A polícia afirma que Leonardo é um profissional de Tecnologia da Informação desde os anos 1990, que já trabalhou em bancos e redes digitais, especializado em explorar falhas de segurança em servidores, que desenvolvia malwares e praticava outros cibercrimes, entre eles, extração, compra e venda de dados pessoais, credenciais de acesso e informações sigilosas de órgãos e empresas.

Em última linha, a informação das autoridades indica que Leonardo não foi para o regime fechado, respondendo ao inquérito em liberdade —  com monitoramento eletrônico, recolhimento domiciliar noturno, retenção do passaporte, suspensão da CNH e proibição do uso de equipamentos com acesso à internet sem autorização judicial.

Leia Mais
Anatel lança ferramenta para rastrear bloqueios de TV Box no Brasil

Uma das questões envolvendo o “fantasma” era, além do modus operandi, seu roteiro — o script, a sequência de comandos automatizados que ele utilizava para infectar sistemas. O TecMundo conversou com o analista de ciberinteligência Gabriel Alves, da empresa ZenoX, que encontrou a resposta. As informações foram confirmadas pelo TecMundo.

tecmundo1_script_fantasma.jpg
O script (Fonte: Gabriel Alves/ZenoX)

O script do “Fantasma”

“O código analisado é um malware do tipo RAT, desenvolvido em Java, com capacidade de controle remoto da máquina infectada”, revela Gabriel.

Um malware RAT, se pudermos explicar claramente, é um vírus conhecido como Cavalo de Tróia de Acesso Remoto (Remote Access Trojan). Java é um tipo de linguagem de programação, como Python, C++ e outras.

Alves explica que o RAT, após a infecção, cria uma persistência no Windows copiando a si mesmo para uma pasta de inicialização automática com o nome “Java.jar”. A ação garante a execução automática do Trojan sempre que o computador é ligado.

Leia Mais
Japão cria drones de guerra feitos de papelão que voam a mais de 100 km/h

“O malware se comunica periodicamente com um servidor de comando e controle (C2), que era identificado como ‘bbboab[.]com’. A cada ciclo que ele se conecta ao servidor, ele recebe comandos remotos, executa os comandos via ‘cmd.exe /c’ e envia o resultado de volta ao operador”, conta o analista. “Na prática, isso permite ao atacante executar comandos remotamente, roubar arquivos e informações, instalar outros malwares, movimentar-se na rede e implantar ransomware”.

Um C2 é um servidor remoto utilizado por criminosos para gerenciar e executar ações em sistemas infectados. Já o ransomware é um dos tipos de malware que atuam como um “sequestrador digital”, conseguindo criptografar arquivos e exigir uma chave de liberação — normalmente, mediante pagamento financeiro da vítima.

O analista Gabriel Alves também conta que o código do “Fantasma” possui estrutura de DGA (Domain Generation Algorithm), uma “técnica utilizada por malwares para gerar domínios dinamicamente com base em cálculos matemáticos e datas”.

A técnica foi um dos facilitadores do vulgo. O uso de DGA dificulta a detecção e o bloqueio porque os domínios mudam constantemente, os bloqueios DNS (Sistema de Nomes de Domínio, uma “agenda telefônica da internet”) tornam-se menos eficazes e a infraestrutura criminosa ganha uma resiliência maior.

Leia Mais
Homem filma mulher com óculos e exige dinheiro para apagar vídeo das redes

“Esse tipo de técnica é amplamente utilizada por malwares modernos para evasão de defesas e manutenção da comunicação com os operadores mesmo após derrubadas de infraestrutura”, define Alves.

O analista também explica que, uma vez conectado com a vítima, pulsos de comunicação periódica a cada nove horas eram realizados pelo malware. Isso permitia que o script “fantasma” fugisse dos olhos de mecanismos de defesa presentes nos sistemas infectados.

O Java como escolha

Foi divulgado que o “Fantasma” supostamente atacou sistemas do governo paulista, da Prefeitura de São Paulo, da Controladoria Geral do Estado e da Polícia Civil. Tribunais de Justiça de Goiás e Tocantins também teriam sido afetados, ao lado da polícia militar goiana.

Apesar de alvos institucionais importantes, é preciso notar que, para um software sofisticado como este, não são alvos tão rentáveis. Quando perguntado sobre isso, o analista Gabriel Alves nota que a linguagem do script é Java.

Leia Mais
Cibercriminosos roubam dados de 275 milhões de usuários do Canvas

“A escolha do Java não é à toa. Grande parte dos bancos atuais utiliza Java como linguagem de backend, bem como o framework Springboot e SpringSecurity”, revela Gabriel e adiciona que, sim, grandes bancos e empresas também foram vítimas do “Fantasma” — “Ligado com o Aut-bank, pelo menos cinco dos maiores bancos do país foram afetados”.

Apesar da afirmação, por conta da investigação policial, mais detalhes sobre as vítimas ainda não foram revelados. O malware era distribuído como atualização Java, então tinha como alvo primordial desenvolvedores que trabalham em bancos e empresas grandes.

“Uma informação que também não foi divulgada é que, uma vez dentro do sistema, eles analisavam todos os e-mails e padrões de escrita com inteligência artificial, onde, novamente, repetiam o processo voltado apenas para o fluxo financeiro da empresa. Uma vez com as datas de pagamento, padrão de mensagem e funcionários do setor, eles falsificavam estes e-mails, bloqueando o remetente original e fazendo phishings internos”.

Phishings são mensagens falsas com links fraudulentos. Ou seja, o “Fantasma” conseguia mimetizar a própria empresa infectada, com estrutura, domínios e linguagem, para infectar outros funcionários simulando um suporte de TI.

Leia Mais
Novo vírus para Linux mira em desenvolvedores e pode infectar pacotes usados por milhões
tecmundo_script_fantasma2.jpg
Estrutura (Fonte: Gabriel Alves (Zenox)

Investimento no crime

A polícia descobriu que o “Fantasma” mantinha um data center (centro de dados) em Belo Horizonte (MG) capaz de armazenar grandes volumes de informações roubadas. Isso significa que o suspeito contava não apenas com um malware sofisticado, mas também com uma infraestrutura física de alto calibre para lidar com seu trabalho.

Resumindo, ele invadia sistemas, mantinha persistência por meses e vendia os acessos prontos para grupos cibercriminosos. No mundo da cibersegurança, atores com esse modus operandi são classificados como agentes de acesso inicial (IABs).

IABs começam com funcionários desvirtuados que recebem quantias menores para a liberação de acesso. No caso, com data center próprio e script único para malware, o “Fantasma” é enquadrado em uma categoria muito sofisticada para se limitar a sistemas governamentais.

Como se proteger

Empresas e funcionários podem se proteger de malwares e IABs de diversas maneiras. Vamos listar algumas delas:

  • Mantenha sistemas operacionais, aplicativos, navegadores, VPNs e dispositivos de rede sempre com os patches de segurança mais recentes;
  • Exija MFA em todos os acessos: autenticação multifator para contas de usuário, VPN, e-mail, portais administrativos e serviços na nuvem;
  • Treine os colaboradores regularmente: simulações de phishing e conscientização sobre engenharia social, malvertising e downloads suspeitos;
  • Feche portas desnecessárias na internet: nunca exponha RDP, SSH ou serviços diretamente; use VPN com MFA;
  • Princípio do menor privilégio: dê acesso apenas ao necessário e segmente a rede (microsegmentação);
  • Monitore a dark web: busque credenciais vazadas da empresa com threat intelligence;
  • Realize pentests e varreduras trimestrais: identifique e corrija vulnerabilidades continuamente;
  • Tenha um plano de resposta a incidentes testado: IRP pronto para agir rápido em caso de ataque;
  • Verificar sempre a diferença entre domínios comparando com o prestador original do software em questão, além de sempre confirmar internamente supostas manutenções, acessos ou contatos com o setor de TI e manutenção;
  • Bloquear internamente qualquer range de IP provenientes de infraestruturas já conhecidas por exploração criminosa na internet, bem como domínios com entropia anormal, ex: lzfaorf[.]com ou mmimkqe[.]com
Avatar do(a) autor(a): Felipe Payão
Felipe Payão

Felipe Payão é jornalista, editor-chefe do TecMundo e especialista em cibersegurança com foco em cibercrime há 11 anos. Payão possui três prêmios especializados: ESET Jornalismo Segurança da Informação América Latina, Comunique-se 2021 e Especialistas da Comunicação.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 3 dias
Secadora Midea HealthGuard, 11,2kg
22% off

Imperdível!

Secadora Midea HealthGuard, 11,2kg

R$ 1.634,00

Eletro amazon.com.brnew_releases
Controle Xbox Robot White
29% off

Cupom GOLEADA

Controle Xbox Robot White

R$ 291,05

Gamer amazon.com.brnew_releases
Relógio Garmin Venu 3
36% off

Aproveite!

Relógio Garmin Venu 3

R$ 2.999,00

Eletro amazon.com.brnew_releases
Purificador de Água Natural Libell LN100
14% off

Garanta já o seu!

Purificador de Água Natural Libell LN100

R$ 103,46

Eletro shopee.com.brnew_releases
Garrafa Stanley Aerolight Flip, 710ml
33% off

Cupom CONVOCADOS33

Garrafa Stanley Aerolight Flip, 710ml

R$ 207,03

Casa e Decoração stanley1913.com.brnew_releases
Garrafa Stanley Slim Bottle, 591ml
33% off

Cupom CONVOCADOS33

Garrafa Stanley Slim Bottle, 591ml

R$ 197,65

Casa e Decoração stanley1913.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA