Os bastidores do esquema criminoso do ‘Hacker Fantasma’ preso em solo brasileiro

No início de maio de 2026, a Polícia Civil de São Paulo e de Minas Gerais deflagrou a Operação Intruder, que resultou na prisão de um cibercriminoso conhecido como “Fantasma”. Identificado pelas autoridades até o momento apenas como Leonardo, o codinome “Fantasma” não era uma assinatura deixada por ele em seus ataques, mas sim a forma como os próprios investigadores o chamavam.

O apelido se deve à sua habilidade de operar de forma invisível em camadas desindexadas da internet, como a deep e a dark web. Nesses ambientes, o uso de criptografia avançada, redes privadas virtuais (VPNs), ausência de IPs fixos e roteamentos complexos tornavam a sua localização uma tarefa extremamente difícil.

Leonardo atua na área de Tecnologia da Informação (TI) desde a década de 1990, acumulando passagens por bancos e redes digitais. Especialista em encontrar brechas em servidores e criar códigos maliciosos, ele se dedicava a crimes como a extração, compra e venda de credenciais de acesso, dados pessoais e relatórios sigilosos de empresas e órgãos públicos.

Apesar da gravidade das acusações, a Justiça determinou que ele responda ao processo em liberdade, sob medidas cautelares estritas: monitoramento por tornozeleira eletrônica, recolhimento domiciliar noturno, retenção de passaporte, suspensão da CNH e a proibição total de acessar a internet sem autorização judicial.

Como funcionava o script do “Fantasma”

O rastro digital deixado pelo criminoso foi decifrado em uma análise feita por Gabriel Alves, especialista em ciberinteligência da empresa ZenoX, com informações confirmadas pelo TecMundo. O segredo de Leonardo estava em um script automatizado altamente eficaz.

  • O vírus: Tratava-se de um malware do tipo RAT (Remote Access Trojan ou Cavalo de Tróia de Acesso Remoto), programado na linguagem Java, que permitia o controle total e a distância do computador infectado.
  • Persistência no sistema: Assim que entrava na máquina da vítima, o vírus se copiava para a pasta de inicialização automática do Windows com o codinome “Java.jar”. Isso garantia que ele fosse executado toda vez que o computador fosse ligado.
  • Comando e Controle (C2): O malware se conectava periodicamente a um servidor criminoso central (através do domínio bbboab[.]com). A cada ciclo, ele recebia ordens remotas, executava comandos ocultos no sistema operacional da vítima e devolvia os dados roubados. Esse mecanismo abria portas para o roubo de arquivos, instalação de outros vírus e até ataques de ransomware (o “sequestro” de dados com pedido de resgate).

Para evitar que seu servidor de comando fosse bloqueado por defesas de segurança, o “Fantasma” utilizava uma técnica chamada DGA (Domain Generation Algorithm). Por meio de cálculos matemáticos e datas, o vírus gerava novos endereços de internet de forma dinâmica. Como os domínios mudavam constantemente, os bloqueios tradicionais de DNS tornavam-se inúteis. Além disso, o vírus enviava sinais de comunicação espaçados a cada nove horas, passando totalmente despercebido pelos antivírus.

Por que o Java? Os alvos reais do hacker

Inicialmente, foi divulgado que o hacker havia invadido sistemas públicos de grande relevância, como o governo e a prefeitura de São Paulo, a Controladoria Geral do Estado, a Polícia Civil, e os Tribunais de Justiça e a Polícia Militar de Goiás e Tocantins. No entanto, por serem alvos institucionais, o retorno financeiro imediato era baixo para um software tão sofisticado.

O verdadeiro foco de Leonardo veio à tona com a descoberta do uso da linguagem Java. Como a maioria das grandes instituições financeiras utiliza Java em seus sistemas internos (backends e frameworks como Springboot), o vírus tinha como alvo principal os desenvolvedores que trabalhavam nesses locais. Disfarçado como uma atualização legítima do Java, o malware infectou pelo menos cinco dos maiores bancos do país associados ao sistema Aut-bank.

Uma vez dentro das redes corporativas, o esquema tornava-se ainda mais refinado:

  1. Varredura com Inteligência Artificial: O grupo analisava o fluxo de e-mails da empresa e usava IA para mapear os padrões de escrita e descobrir as datas de pagamentos e os nomes dos funcionários do setor financeiro.
  2. Phishing Interno Mimetizado: Com essas informações, os criminosos bloqueavam o remetente original e enviavam e-mails falsos perfeitamente idênticos aos da empresa. Simulando chamados do suporte de TI, eles faziam com que outros colaboradores clicassem em links fraudulentos (phishing), expandindo a infecção.

Infraestrutura pesada e venda de acessos

A investigação policial também localizou uma estrutura física surpreendente: o hacker mantinha um data center próprio em Belo Horizonte (MG) dedicado exclusivamente ao armazenamento dos gigantescos volumes de dados roubados.

Na engrenagem do crime digital, o “Fantasma” operava como um IAB (Initial Access Broker ou Agente de Acesso Inicial). Em vez de realizar todo o ataque sozinho, sua função principal era invadir os sistemas, garantir o controle silencioso dos servidores por meses e depois vender esses acessos prontos para outras quadrilhas especializadas em extorsão.

Guia de Cibersegurança: Como se proteger

Para evitar ataques de agentes de acesso inicial e infecções por malwares semelhantes, especialistas recomendam que organizações e usuários adotem medidas preventivas rigorosas:

  • Atualizações constantes: Manter sistemas operacionais, navegadores, VPNs e ferramentas de rede atualizados com os últimos pacotes de segurança (patches).
  • Autenticação Multifator (MFA): Exigir verificação em duas ou mais etapas para todos os acessos, especialmente e-mails corporativos, VPNs e portais em nuvem.
  • Treinamento de equipe: Realizar simulações periódicas de phishing para conscientizar funcionários contra técnicas de engenharia social.
  • Controle de portas e privilégios: Bloquear conexões diretas desnecessárias (como RDP ou SSH) à internet e aplicar a política de menor privilégio, garantindo que os funcionários tenham acesso apenas ao estritamente necessário para suas funções.
  • Monitoramento e Inteligência: Acompanhar fóruns e a dark web em busca de credenciais vazadas da empresa, além de realizar testes de invasão (pentests) trimestrais.
  • Defesa de Rede Avançada: Bloquear faixas de IP conhecidas por atividades maliciosas e monitorar o tráfego de domínios com padrões de letras aleatórios ou anormais (alta entropia), como lzfaorf[.]com.
  • Confirmação interna: Instituir o hábito de sempre checar, por canais secundários e seguros, qualquer solicitação inesperada de manutenção de TI ou alteração de dados bancários corporativos.

WhatsApp