O enigma do “Hacker Fantasma”: como operava o cibercriminoso preso no Brasil
No início de maio de 2026, a Operação Intruder, conduzida pelas Polícias Civis de São Paulo e Minas Gerais, resultou na prisão de um suspeito conhecido como “Fantasma” — apelido dado pelas autoridades para descrever seu modo de atuação discreto e difícil de rastrear. Identificado apenas como Leonardo, o investigado teria uma longa trajetória na área de tecnologia, com experiência desde os anos 1990 em sistemas bancários e redes digitais.
O codinome não era utilizado pelo próprio criminoso, mas fazia referência à forma como ele atuava: explorando ambientes ocultos da internet, como deep web e dark web, onde a identificação de usuários é dificultada por camadas de criptografia, anonimização e uso de tecnologias como VPNs. Nesse cenário, Leonardo teria se especializado na exploração de falhas de segurança, desenvolvendo malwares e comercializando dados sensíveis, incluindo credenciais de acesso e informações de organizações públicas e privadas.
Apesar da gravidade das acusações, o suspeito responde ao processo em liberdade, sob medidas restritivas como monitoramento eletrônico, recolhimento noturno, suspensão de documentos e proibição de acesso à internet sem autorização judicial.
O funcionamento do malware
Um dos aspectos mais intrigantes do caso envolve o software utilizado nas invasões. Segundo análise do especialista em ciberinteligência Gabriel Alves, o programa desenvolvido por Leonardo era um malware do tipo RAT (Remote Access Trojan), construído na linguagem Java.
Esse tipo de vírus permite o controle remoto completo do computador infectado. Após a invasão, o sistema criava persistência ao se copiar automaticamente para uma pasta de inicialização do Windows, garantindo sua execução sempre que o dispositivo fosse ligado. Disfarçado como um arquivo legítimo (“Java.jar”), o malware permanecia ativo sem levantar suspeitas imediatas.
A comunicação com o invasor ocorria por meio de um servidor de comando e controle (C2). A cada conexão, o sistema enviava e recebia instruções remotas, executando comandos no computador comprometido e retornando os resultados. Na prática, isso permitia ao atacante acessar arquivos, instalar outros malwares, movimentar-se pela rede e até implantar ransomware — tipo de ataque que bloqueia dados e exige pagamento para liberação.
Estratégias de ocultação e persistência
O código utilizado pelo “Fantasma” incorporava técnicas avançadas para evitar detecção. Entre elas, estava o uso de DGA (Domain Generation Algorithm), um método que cria automaticamente diferentes domínios ao longo do tempo. Isso dificulta bloqueios por sistemas de segurança, já que os endereços utilizados pelo malware mudam constantemente.
Além disso, o programa se comunicava com o servidor em intervalos longos — cerca de nove horas entre cada contato —, o que ajudava a reduzir a chance de ser identificado por mecanismos de monitoramento contínuo.
Essas estratégias conferiam maior resiliência à operação criminosa, mantendo o acesso aos sistemas infectados mesmo após tentativas de bloqueio.
Alvos e método de ataque
Embora haja indícios de ataques contra órgãos públicos — como instituições estaduais e tribunais —, especialistas apontam que o foco principal do esquema pode ter sido o setor privado, especialmente bancos e grandes empresas. Um dos fatores que reforça essa hipótese é o uso da linguagem Java, amplamente adotada em sistemas corporativos e financeiros.
O malware era frequentemente distribuído disfarçado como atualizações de software, atingindo principalmente desenvolvedores e profissionais de tecnologia. Uma vez dentro da rede, o sistema utilizava inteligência artificial para analisar padrões de comunicação interna, incluindo e-mails corporativos.
Com base nesses dados, o criminoso conseguia reproduzir o estilo de escrita da empresa e enviar mensagens falsas extremamente convincentes. Essas campanhas de phishing interno simulavam comunicações legítimas, muitas vezes relacionadas a processos financeiros, aumentando as chances de novos acessos comprometidos.
Infraestrutura e atuação
As investigações revelaram que Leonardo mantinha um data center próprio em Belo Horizonte, estrutura que permitia armazenar grandes volumes de dados roubados e sustentar suas operações por longos períodos. Esse nível de organização indica um perfil sofisticado dentro do cibercrime.
Seu modelo de atuação se enquadra na categoria de IAB (Initial Access Broker), ou seja, um agente especializado em invadir sistemas e vender esses acessos para outros grupos criminosos. Nesse tipo de esquema, o invasor atua como porta de entrada para ataques mais complexos, como fraudes financeiras ou sequestros digitais.
Como se proteger desse tipo de ameaça
Casos como o do “Hacker Fantasma” reforçam a importância de boas práticas de segurança digital. Algumas medidas fundamentais incluem:
- Manter sistemas e aplicativos sempre atualizados com as últimas correções de segurança
- Adotar autenticação multifator (MFA) em todos os acessos críticos
- Capacitar colaboradores para reconhecer tentativas de phishing e engenharia social
- Evitar expor serviços sensíveis diretamente na internet, utilizando VPNs seguras
- Limitar acessos conforme a necessidade de cada usuário
- Monitorar possíveis vazamentos de dados na dark web
- Realizar testes de segurança e auditorias periódicas
- Validar a autenticidade de comunicações internas, especialmente solicitações financeiras
- Bloquear domínios suspeitos ou com padrões incomuns
Um caso que expõe a evolução do cibercrime
A atuação atribuída ao “Fantasma” demonstra como o cibercrime evoluiu para níveis altamente sofisticados, combinando conhecimento técnico, automação e estratégias de engenharia social. Mais do que invadir sistemas, operações desse tipo exploram falhas humanas e estruturais, tornando a prevenção um desafio constante para empresas e órgãos públicos.
O caso também serve como alerta: mesmo com tecnologias avançadas de defesa, a segurança digital depende de uma combinação de ferramentas, processos e conscientização humana para ser efetiva.
*Com informações do Portal de notícias TecMundo.
