{"id":783473,"date":"2026-05-25T19:03:29","date_gmt":"2026-05-25T22:03:29","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/25\/hacker-fantasma-e-preso-no-brasil-em-operacao-ligada-a-script-criminoso\/"},"modified":"2026-05-25T19:03:29","modified_gmt":"2026-05-25T22:03:29","slug":"hacker-fantasma-e-preso-no-brasil-em-operacao-ligada-a-script-criminoso","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/05\/25\/hacker-fantasma-e-preso-no-brasil-em-operacao-ligada-a-script-criminoso\/","title":{"rendered":"Hacker Fantasma \u00e9 preso no Brasil em opera\u00e7\u00e3o ligada a script criminoso"},"content":{"rendered":"<p>O hacker conhecido como \u201cFantasma\u201d foi preso no in\u00edcio de maio pela Pol\u00edcia Civil de S\u00e3o Paulo, em parceria com a Pol\u00edcia Civil de Minas Gerais. A opera\u00e7\u00e3o Intruder resultou na deten\u00e7\u00e3o de Leonardo, apontado como respons\u00e1vel por atividades em n\u00edveis avan\u00e7ados de cibercrime. Ele atuava em ambientes da deep e dark web, com v\u00ednculos a redes e dados furtados, conforme apurado pela investiga\u00e7\u00e3o.<\/p>\n<p>Leonardo, segundo a pol\u00edcia, \u00e9 profissional de Tecnologia da Informa\u00e7\u00e3o desde os anos 1990, com hist\u00f3rico em bancos e redes digitais. O trabalho dele envolvia explorar falhas de seguran\u00e7a, desenvolver malwares e facilitar a extra\u00e7\u00e3o, compra e venda de dados pessoais e credenciais.<\/p>\n<p>A pris\u00e3o ocorreu no come\u00e7o de maio de 2026, com o suspeito respondendo ao inqu\u00e9rito em liberdade, mediante monitoramento eletr\u00f4nico, recolhimento noturno, reten\u00e7\u00e3o do passaporte, suspens\u00e3o da CNH e proibi\u00e7\u00e3o de uso de equipamentos com acesso \u00e0 internet sem autoriza\u00e7\u00e3o judicial.<\/p>\n<h3>O script do Fantasma<\/h3>\n<p>O material apreendido aponta para um malware do tipo RAT (Remote Access Trojan) desenvolvido em Java, capaz de controle remoto da m\u00e1quina infectada. Ap\u00f3s a infec\u00e7\u00e3o, o c\u00f3digo persiste na inicializa\u00e7\u00e3o autom\u00e1tica em uma pasta chamada Java.jar.<\/p>\n<p>O malware se comunica periodicamente com um servidor de comando e controle identificado como bbboab[.]com e recebe comandos para execu\u00e7\u00e3o remota, roubo de arquivos e dissemina\u00e7\u00e3o de outros malwares. A comunica\u00e7\u00e3o ocorre via ciclos que enviam resultados ao operador.<\/p>\n<p>A an\u00e1lise indica ainda a presen\u00e7a de uma estrutura de Domain Generation Algorithm (DGA), que gera dom\u00ednios dinamicamente para manter a comunica\u00e7\u00e3o mesmo com bloqueios. Segundo o especialista, essa t\u00e9cnica aumenta a dificuldade de detec\u00e7\u00e3o e bloqueio.<\/p>\n<p>O pesquisador aponta que o script realiza pulsos de comunica\u00e7\u00e3o a cada nove horas, reduzindo a visibilidade frente a mecanismos de defesa dos sistemas atingidos. O software era utilizado para permanecer ativo por longos per\u00edodos.<\/p>\n<h3>V\u00edtimas e infraestrutura<\/h3>\n<p>A investiga\u00e7\u00e3o aponta que suspeito atingiu \u00f3rg\u00e3os p\u00fablicos e entidades como o governo estadual de S\u00e3o Paulo, a Prefeitura de S\u00e3o Paulo, a Controladoria Geral do Estado e a Pol\u00edcia Civil. Tribunais de Goi\u00e1s e Tocantins, al\u00e9m da pol\u00edcia militar goiana, tamb\u00e9m foram mencionados entre as v\u00edtimas.<\/p>\n<p>Apesar de os alvos serem institui\u00e7\u00f5es, o pesquisador destaca que o Java facilita a infiltra\u00e7\u00e3o em ambientes corporativos amplos, incluindo bancos que utilizam a mesma linguagem. O malware era distribu\u00eddo como atualiza\u00e7\u00e3o de Java, com foco em desenvolvedores e grandes empresas.<\/p>\n<p>Tamb\u00e9m foi revelado que o Fantasma explorava e-mails internos, simulando comunica\u00e7\u00e3o de suporte de TI para conduzir phishing interno, explorando padr\u00f5es de pagamento e linguagem interna da empresa.<\/p>\n<p>A pol\u00edcia confirmou a exist\u00eancia de um data center em Belo Horizonte (MG) utilizado para armazenar grandes volumes de dados roubados, sustentando a atua\u00e7\u00e3o do grupo como agentes de acesso inicial (IABs). A estrutura permitia manter opera\u00e7\u00f5es mesmo com interrup\u00e7\u00f5es de infraestrutura.<\/p>\n<h3>Prote\u00e7\u00e3o e orienta\u00e7\u00f5es<\/h3>\n<p>Especialistas sugerem medidas como manter atualizados sistemas, exigir MFA em acessos, realizar treinamentos de phishing, limitar portas expostas, segmentar redes e monitorar a dark web por credenciais comprometidas. Realizar pentests peri\u00f3dicos e ter planos de resposta a incidentes tamb\u00e9m s\u00e3o recomendados.<\/p>\n<p>Outras recomenda\u00e7\u00f5es incluem verificar a autenticidade de dom\u00ednios e evitar comunica\u00e7\u00f5es n\u00e3o verifiadas, al\u00e9m de bloquear faixas de IP associadas a atividades criminosas conhecidas. A prepara\u00e7\u00e3o t\u00e9cnica e a vigil\u00e2ncia cont\u00ednua s\u00e3o apontadas como essenciais para reduzir riscos.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>A Pol\u00edcia Civil de S\u00e3o Paulo e de Minas Gerais prenderam o hacker conhecido como \u201cFantasma\u201d no come\u00e7o de maio de 2026, na Opera\u00e7\u00e3o Intruder, com atua\u00e7\u00e3o na deep e dark web.<\/li>\n<li>O suspeito, identificado como Leonardo, atuava como profissional de Tecnologia da Informa\u00e7\u00e3o desde os anos noventa, desenvolvendo malwares e comercializando dados, credenciais e informa\u00e7\u00f5es sigilosas.<\/li>\n<li>O script do Fantasma \u00e9 um malware do tipo RAT desenvolvido em Java, que cria persist\u00eancia, se conecta a um servidor de comando e controle e recebe comandos remotos; usa t\u00e9cnica de gera\u00e7\u00e3o din\u00e2mica de dom\u00ednios (DGA) e envia dados a cada nove horas.<\/li>\n<li>O alvo inclu\u00eda \u00f3rg\u00e3os p\u00fablicos e grandes empresas, com ind\u00edcios de envolvimento de bancos; o malware era distribu\u00eddo como atualiza\u00e7\u00e3o Java.<\/li>\n<li>A pol\u00edcia informou que ele mantinha um data center em Belo Horizonte para armazenar informa\u00e7\u00f5es roubadas e que responde ao inqu\u00e9rito em liberdade, com monitoramento eletr\u00f4nico e outras medidas.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":783490,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Ap\u00f3s pris\u00e3o do \"Hacker Fantasma\" no Brasil, script RAT em Java \u00e9 usado para invas\u00f5es a \u00f3rg\u00e3os, com servidor C2 e data center em Belo Horizonte","footnotes":""},"categories":[296,1],"tags":[84,102,91,78,95,189],"class_list":["post-783473","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-conflitos","tag-governo","tag-policia","tag-redes-sociais","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/783473","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=783473"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/783473\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/783490"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=783473"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=783473"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=783473"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}