- A Polícia Civil de São Paulo e de Minas Gerais prenderam o hacker conhecido como “Fantasma” no começo de maio de 2026, na Operação Intruder, com atuação na deep e dark web.
- O suspeito, identificado como Leonardo, atuava como profissional de Tecnologia da Informação desde os anos noventa, desenvolvendo malwares e comercializando dados, credenciais e informações sigilosas.
- O script do Fantasma é um malware do tipo RAT desenvolvido em Java, que cria persistência, se conecta a um servidor de comando e controle e recebe comandos remotos; usa técnica de geração dinâmica de domínios (DGA) e envia dados a cada nove horas.
- O alvo incluía órgãos públicos e grandes empresas, com indícios de envolvimento de bancos; o malware era distribuído como atualização Java.
- A polícia informou que ele mantinha um data center em Belo Horizonte para armazenar informações roubadas e que responde ao inquérito em liberdade, com monitoramento eletrônico e outras medidas.
O hacker conhecido como “Fantasma” foi preso no início de maio pela Polícia Civil de São Paulo, em parceria com a Polícia Civil de Minas Gerais. A operação Intruder resultou na detenção de Leonardo, apontado como responsável por atividades em níveis avançados de cibercrime. Ele atuava em ambientes da deep e dark web, com vínculos a redes e dados furtados, conforme apurado pela investigação.
Leonardo, segundo a polícia, é profissional de Tecnologia da Informação desde os anos 1990, com histórico em bancos e redes digitais. O trabalho dele envolvia explorar falhas de segurança, desenvolver malwares e facilitar a extração, compra e venda de dados pessoais e credenciais.
A prisão ocorreu no começo de maio de 2026, com o suspeito respondendo ao inquérito em liberdade, mediante monitoramento eletrônico, recolhimento noturno, retenção do passaporte, suspensão da CNH e proibição de uso de equipamentos com acesso à internet sem autorização judicial.
O script do Fantasma
O material apreendido aponta para um malware do tipo RAT (Remote Access Trojan) desenvolvido em Java, capaz de controle remoto da máquina infectada. Após a infecção, o código persiste na inicialização automática em uma pasta chamada Java.jar.
O malware se comunica periodicamente com um servidor de comando e controle identificado como bbboab[.]com e recebe comandos para execução remota, roubo de arquivos e disseminação de outros malwares. A comunicação ocorre via ciclos que enviam resultados ao operador.
A análise indica ainda a presença de uma estrutura de Domain Generation Algorithm (DGA), que gera domínios dinamicamente para manter a comunicação mesmo com bloqueios. Segundo o especialista, essa técnica aumenta a dificuldade de detecção e bloqueio.
O pesquisador aponta que o script realiza pulsos de comunicação a cada nove horas, reduzindo a visibilidade frente a mecanismos de defesa dos sistemas atingidos. O software era utilizado para permanecer ativo por longos períodos.
Vítimas e infraestrutura
A investigação aponta que suspeito atingiu órgãos públicos e entidades como o governo estadual de São Paulo, a Prefeitura de São Paulo, a Controladoria Geral do Estado e a Polícia Civil. Tribunais de Goiás e Tocantins, além da polícia militar goiana, também foram mencionados entre as vítimas.
Apesar de os alvos serem instituições, o pesquisador destaca que o Java facilita a infiltração em ambientes corporativos amplos, incluindo bancos que utilizam a mesma linguagem. O malware era distribuído como atualização de Java, com foco em desenvolvedores e grandes empresas.
Também foi revelado que o Fantasma explorava e-mails internos, simulando comunicação de suporte de TI para conduzir phishing interno, explorando padrões de pagamento e linguagem interna da empresa.
A polícia confirmou a existência de um data center em Belo Horizonte (MG) utilizado para armazenar grandes volumes de dados roubados, sustentando a atuação do grupo como agentes de acesso inicial (IABs). A estrutura permitia manter operações mesmo com interrupções de infraestrutura.
Proteção e orientações
Especialistas sugerem medidas como manter atualizados sistemas, exigir MFA em acessos, realizar treinamentos de phishing, limitar portas expostas, segmentar redes e monitorar a dark web por credenciais comprometidas. Realizar pentests periódicos e ter planos de resposta a incidentes também são recomendados.
Outras recomendações incluem verificar a autenticidade de domínios e evitar comunicações não verifiadas, além de bloquear faixas de IP associadas a atividades criminosas conhecidas. A preparação técnica e a vigilância contínua são apontadas como essenciais para reduzir riscos.
Entre na conversa da comunidade