Malware AGINGFLY amplia ataques contra hospitais e governos
Uma nova onda de ataques cibernéticos, atribuída ao grupo identificado como UAC-0247, está mirando diretamente hospitais, unidades de pronto-atendimento e órgãos governamentais com uma campanha de espionagem altamente direcionada. O foco principal é o roubo de dados sensíveis, especialmente informações armazenadas em navegadores baseados em Chromium e no aplicativo WhatsApp, abrindo caminho para invasões mais profundas e fraudes em larga escala.
Os analistas observaram a campanha entre março e abril de 2026, período em que houve crescimento expressivo de incidentes envolvendo instituições de saúde e estruturas críticas do setor público. A combinação de técnicas de engenharia social, movimentação lateral dentro das redes e extração de credenciais chama a atenção pelo potencial de causar interrupções graves em serviços essenciais, inclusive com impacto direto em atendimentos médicos.
Como começa o ataque: engenharia social com “ajuda humanitária”
A cadeia de infecção tem início com e-mails cuidadosamente preparados, que se apresentam como comunicações legítimas oferecendo apoio, doações ou propostas de ajuda humanitária. O conteúdo é adaptado para o contexto da vítima: hospitais recebem mensagens falando em fornecimento de insumos médicos, equipamentos ou suporte em emergências; já órgãos governamentais são abordados com temas como parcerias, programas sociais ou apoio logístico.
Esses e-mails contêm links que, à primeira vista, parecem legítimos. Ao clicar, o usuário é redirecionado para um site comprometido ou para uma página falsa elaborada para reproduzir a identidade visual de organizações conhecidas. Nesses portais, a vítima é convencida a baixar um suposto documento, proposta ou formulário – que, na realidade, é o início do comprometimento da máquina.
LNK malicioso e uso de ferramentas nativas do Windows
O arquivo oferecido para download não é um documento comum, mas um atalho do Windows no formato LNK, disfarçado com ícone e nome sugestivos (por exemplo, “proposta.pdf.lnk”). Assim que o usuário o abre, em vez de visualizar um arquivo de texto ou planilha, é acionada uma cadeia de execução maliciosa.
Os atacantes abusam do utilitário nativo mshta.exe, presente em sistemas Windows, para carregar e executar de forma silenciosa um arquivo HTA hospedado remotamente. Enquanto a vítima é apresentada a uma página de isca – que pode exibir um erro, um documento vazio ou uma tela de carregamento – o código malicioso é executado em segundo plano, sem sinais claros de atividade suspeita para o usuário comum.
A partir deste ponto, o sistema comprometido passa a baixar outros componentes necessários para consolidar a infecção, estabelecer persistência e abrir um canal de comunicação estável com a infraestrutura controlada pelos criminosos.
Ferramentas utilizadas: RAVENSHELL e AGINGFLY
Entre as principais ferramentas encontradas nessa operação destacam-se o backdoor RAVENSHELL e o malware da família AGINGFLY. Esses componentes atuam de forma complementar:
– O RAVENSHELL permite que os atacantes recebam comandos remotamente, executem scripts, coletem informações do ambiente e ajustem a configuração da campanha conforme a necessidade.
– O AGINGFLY funciona como uma peça central da operação, especializada em coleta de dados, comunicação com o servidor de comando e controle (C2) e uso de canais alternativos para manter o contato ativo mesmo em redes mais restritivas.
Essa arquitetura modular oferece grande flexibilidade aos invasores. Eles conseguem atualizar, substituir ou ampliar funcionalidades sem precisar reinfectar o alvo, tornando a campanha mais resiliente e adaptável a diferentes cenários de defesa.
Do roubo de dados à movimentação lateral
As evidências coletadas indicam que os operadores da campanha não se limitam a extrair dados superficiais ou facilmente acessíveis. Uma vez dentro da rede, os criminosos realizam reconhecimento interno, identificando servidores críticos, estações de trabalho administrativas, sistemas de prontuário eletrônico e aplicações governamentais sensíveis.
A partir desse mapeamento, é realizada a chamada movimentação lateral: a infecção inicial serve como ponto de apoio para acessar outros dispositivos dentro do mesmo ambiente, explorando credenciais obtidas, configurações frágeis e falhas de segmentação de rede. Isso aumenta significativamente o alcance da operação, permitindo o comprometimento de múltiplos sistemas a partir de uma única máquina infectada.
Em seguida, dados considerados estratégicos – como documentos internos, bases de cadastro, relatórios operacionais e informações de autenticação – são preparados para exfiltração, geralmente por canais discretos e em pequenos volumes, para não chamar atenção de mecanismos de monitoramento.
Por que o foco em navegadores e WhatsApp é tão perigoso
O interesse dos atacantes em navegadores baseados em Chromium (como Chrome, Edge, Brave e outros) e no WhatsApp não é casual. Esses aplicativos concentram uma grande quantidade de informações valiosas:
– Credenciais salvas de e-mails corporativos, sistemas internos e plataformas de gestão.
– Cookies de sessão, que podem permitir acesso a contas mesmo sem senha.
– Histórico de navegação, revelando rotinas, ferramentas usadas e portais mais acessados.
– Conversas e arquivos trocados via WhatsApp Web, incluindo dados operacionais, decisões internas e, muitas vezes, informações sensíveis compartilhadas de forma informal.
Ao obter esse conjunto de dados, os criminosos podem preparar novos vetores de ataque, realizar fraudes direcionadas, se passar por funcionários legítimos em conversas internas e até violar outras organizações conectadas àquela instituição, como fornecedores e parceiros.
Impacto em hospitais e serviços públicos
Em ambientes de saúde, o risco vai muito além da perda de dados: sistemas de prontuário eletrônico, agendamento de consultas, controle de medicamentos e dispositivos médicos conectados podem ser afetados pela presença de malware ou pela necessidade de desligar serviços para contenção de incidentes. Isso pode causar atrasos em atendimentos, cancelamento de procedimentos e problemas na comunicação entre equipes médicas, com impacto direto na segurança do paciente.
No setor público, o comprometimento de órgãos governamentais pode afetar emissão de documentos, serviços de assistência social, gestão de emergências e atendimento à população. A presença de backdoors como o RAVENSHELL e o AGINGFLY em redes governamentais também abre espaço para espionagem prolongada, monitorando decisões estratégicas, fluxos financeiros e projetos em andamento.
O papel da Inteligência em Ameaças (CTI) nesses casos
Campanhas complexas como essa evidenciam a importância da chamada Inteligência em Ameaças Cibernéticas (CTI) dentro de organizações de grande porte, especialmente em setores críticos. A CTI tem como objetivo principal coletar, analisar e transformar dados sobre atacantes, técnicas, ferramentas e infraestrutura maliciosa em informações acionáveis para defesa.
Ao acompanhar comportamentos de grupos como o UAC-0247, equipes de CTI podem:
– Identificar indicadores de comprometimento (arquivos, domínios, endereços IP, padrões de e-mail).
– Mapear a cadeia de ataque e antecipar etapas futuras.
– Compartilhar informações com times de segurança, resposta a incidentes e gestão de risco.
– Ajustar políticas de bloqueio, regras de firewall, assinaturas de detecção e configurações de EDR.
Com isso, não apenas é possível reagir mais rápido a incidentes em andamento, como também fortalecer a capacidade preventiva, reduzindo a superfície de ataque disponível para campanhas semelhantes.
Como as instituições podem se proteger
Hospitais, clínicas e órgãos governamentais podem adotar um conjunto de medidas para mitigar o risco de campanhas envolvendo o AGINGFLY e ferramentas associadas:
1. Treinamento contínuo de usuários
Campanhas de conscientização voltadas para equipes administrativas, profissionais de saúde e servidores públicos são fundamentais. É essencial reforçar a importância de desconfiar de e-mails com propostas inesperadas, especialmente quando envolvem anexos ou links para download de arquivos.
2. Bloqueio e monitoramento de arquivos LNK e HTA
Políticas de segurança podem restringir a execução de atalhos suspeitos e arquivos de script, como HTA, em estações de trabalho comuns. Ferramentas de EDR e antivírus corporativos devem ser configuradas para registrar e bloquear comportamentos anômalos envolvendo utilitários como mshta.exe.
3. Revisão de políticas de armazenamento de senhas em navegadores
Sempre que possível, senhas críticas não devem ser salvas diretamente no navegador. O uso de gerenciadores de senhas dedicados, com autenticação forte, reduz o impacto de infecções focadas em extrair credenciais de browsers.
4. Segmentação de rede e privilégios mínimos
Limitar o acesso de cada máquina e usuário apenas ao que é estritamente necessário dificulta a movimentação lateral. A segmentação correta impede que um único computador comprometido tenha acesso direto a servidores e bases sensíveis.
5. Monitoramento de tráfego de saída (exfiltração)
Adoção de soluções de monitoramento capazes de detectar padrões incomuns de comunicação com servidores externos, bem como transferência atípica de dados, ajuda a identificar estágios avançados da campanha.
Evolução das campanhas e necessidade de resposta rápida
Grupos como o UAC-0247 costumam adaptar constantemente suas táticas, técnicas e procedimentos. Isso significa que o uso atual de LNK, mshta.exe, RAVENSHELL e AGINGFLY pode ser apenas uma fase de uma operação maior, sujeita a mudanças conforme as defesas se fortalecem.
Instituições que identificarem qualquer indício de atividade suspeita – especialmente e-mails inusuais, comportamento anômalo de navegadores, acessos estranhos a aplicativos de mensagens corporativas ou presença de processos desconhecidos – devem acionar imediatamente suas equipes de segurança ou fornecedores especializados em resposta a incidentes. Uma resposta rápida pode significar a diferença entre um comprometimento pontual e uma violação de larga escala.
Conclusão
A campanha ligada ao cluster UAC-0247 e ao malware AGINGFLY evidencia o quanto ambientes hospitalares e governamentais se tornaram alvos prioritários para operadores de ameaças interessados em espionagem, chantagem e interrupção de serviços críticos. O foco em roubo de dados de navegadores e WhatsApp amplia a superfície de exposição, permitindo aos atacantes obter credenciais, sessões e informações capazes de sustentar ataques subsequentes ainda mais sofisticados.
Diante desse cenário, investir em inteligência de ameaças, fortalecimento de controles técnicos, treinamento de usuários e planos maduros de resposta a incidentes deixa de ser uma opção e se torna requisito básico para garantir a continuidade de operações essenciais e a proteção de dados sensíveis de cidadãos e pacientes.