Malware AGINGFLY amplia ataques contra Hospitais e Governos
Uma nova onda de ataques direcionados chamou a atenção de especialistas em segurança digital ao longo de março e abril de 2026. A campanha, atribuída ao cluster UAC-0247, passou a mirar especificamente hospitais, clínicas de atendimento emergencial e órgãos governamentais, utilizando o malware AGINGFLY em conjunto com outras ferramentas para espionagem, roubo de dados e movimentação lateral dentro das redes comprometidas.
O objetivo principal dessa operação é a coleta de informações sensíveis, especialmente dados armazenados em navegadores baseados em Chromium e no aplicativo WhatsApp. Isso inclui credenciais de acesso, sessões autenticadas, histórico de conversas e outros elementos que podem ser explorados para ampliar o acesso dos atacantes, sustentar espionagem prolongada e preparar ataques posteriores ainda mais destrutivos.
Cadeia de infecção: da ajuda humanitária ao controle total da máquina
A campanha começa com uma estratégia clássica de engenharia social. As vítimas recebem e-mails que se passam por comunicações legítimas, frequentemente com apelos de ajuda humanitária ou ações sociais. O tom das mensagens é cuidadosamente construído para gerar empatia e urgência, levando o destinatário a clicar em um link supostamente confiável.
Esse link direciona o usuário para um site comprometido ou para uma página fraudulenta que imita portais oficiais e conhecidos. O visual é convincente o suficiente para enganar até usuários experientes, incentivando o download de um arquivo que, em tese, conteria detalhes da campanha, formulários de cadastro ou documentos de apoio. Na prática, trata-se do início da infecção.
O arquivo disponibilizado ao usuário é um atalho do Windows no formato LNK, e não um documento PDF ou Word, como muitas vezes é sugerido na mensagem. Ao ser executado, esse atalho aciona o utilitário nativo do sistema operacional, o mshta.exe, ferramenta legítima usada para executar aplicações HTML. Nesse contexto, porém, ela é abusada para carregar um arquivo HTA remoto, controlado pelos invasores.
Enquanto o usuário é redirecionado para uma página de isca – geralmente com informações genéricas ou conteúdo aparentemente inofensivo -, o verdadeiro ataque ocorre silenciosamente em segundo plano. O sistema comprometido passa a baixar e executar componentes adicionais responsáveis por manter a persistência do malware, estabelecer comunicação com a infraestrutura dos operadores e abrir caminho para comandos remotos.
RAVENSHELL e AGINGFLY: combinação perigosa
Entre as ferramentas observadas nessa campanha, destacam-se o backdoor RAVENSHELL e a família de malware AGINGFLY. Esses componentes são integrados de forma a criar um canal robusto de controle sobre os sistemas infectados.
O RAVENSHELL funciona como um backdoor que permite aos atacantes enviar comandos, alterar configurações da campanha em tempo real e atualizar os módulos em uso conforme a necessidade. Já o AGINGFLY atua como peça central para coleta de dados, especialmente informações relacionadas a navegadores baseados em Chromium, como Google Chrome, Edge, Opera e outros, além de interagir com elementos associados ao WhatsApp instalado na máquina.
Esse conjunto de ferramentas também se destaca pela capacidade de localizar e se conectar ao servidor de comando e controle por meio de canais alternativos, o que torna a derrubada da infraestrutura criminosa mais complexa. Mesmo que alguns domínios ou endereços sejam bloqueados, o malware pode usar rotas de fallback para restabelecer a comunicação, prolongando a vida útil da infecção.
Espionagem e movimentação lateral em ambientes críticos
As análises dos incidentes revelam que os operadores não se contentam com o simples roubo inicial de dados. Depois de obter um ponto de apoio em uma máquina, o grupo realiza reconhecimento interno da rede, mapeando dispositivos, servidores e serviços expostos. A partir disso, parte para a movimentação lateral, tentando comprometer outras estações e sistemas críticos dentro da organização.
Em ambientes hospitalares, esse tipo de ação representa um risco direto à continuidade de serviços essenciais. Sistemas de prontuário eletrônico, agendamento de exames, infraestrutura de telemedicina e até equipamentos conectados podem ser afetados indiretamente, caso estejam na mesma rede ou compartilhem credenciais e acessos com máquinas já comprometidas.
No setor público, o cenário não é menos preocupante. Órgãos governamentais lidam com grandes volumes de dados pessoais, informações estratégicas, documentos sigilosos e sistemas que sustentam serviços básicos à população. A exfiltração de dados sensíveis e a possibilidade de paralisação de serviços podem levar a impactos sociais, financeiros e até geopolíticos.
Por que o foco em navegadores e WhatsApp é tão valioso para os invasores
A atenção especial do AGINGFLY aos navegadores Chromium e ao WhatsApp não é aleatória. Navegadores modernos concentram grande parte da vida digital de um usuário ou de uma organização: logins salvos, cookies de sessão, históricos de acesso a sistemas internos, portais de fornecedores, painéis administrativos e serviços em nuvem.
Ao capturar essas informações, os atacantes podem reutilizar credenciais para acessar contas corporativas, plataformas de gestão hospitalar, sistemas de folha de pagamento, caixas de e-mail e muito mais. Em muitos casos, basta um cookie de sessão válido para assumir o controle de um painel administrativo sem precisar descobrir a senha.
No caso do WhatsApp, o interesse vai além de conversas pessoais. Em muitas instituições, o aplicativo acaba sendo utilizado informalmente para troca de dados operacionais, comunicação entre equipes, envio de documentos, fotos de exames, instruções de gestores e até compartilhamento de senhas de forma improvisada. O acesso a essas conversas pode revelar rotinas internas, decisões estratégicas, fluxos de atendimento e contatos-chave, que podem ser usados para ampliar ataques ou conduzir campanhas de engenharia social ainda mais refinadas.
Relevância da CTI diante de campanhas como a do AGINGFLY
O avanço de ameaças sofisticadas como as protagonizadas pelo cluster UAC-0247 reforça a importância da CTI (Cyber Threat Intelligence) dentro de organizações públicas e privadas. CTI é o conjunto de práticas, processos e ferramentas dedicadas a coletar, analisar e transformar dados sobre ameaças cibernéticas em informação acionável.
Em campanhas complexas, como essa envolvendo AGINGFLY e RAVENSHELL, a CTI ajuda a identificar indicadores de comprometimento, entender táticas, técnicas e procedimentos do grupo atacante e antecipar possíveis desdobramentos. Com isso, equipes de segurança conseguem ajustar regras de detecção, fortalecer controles de acesso, atualizar playbooks de resposta a incidentes e treinar colaboradores com foco nos vetores de ataque mais prováveis.
Para hospitais e órgãos governamentais, onde a tolerância a falhas é mínima, incorporar CTI ao dia a dia significa sair da postura puramente reativa, que só age após o dano, e avançar para uma postura mais proativa e preventiva, reduzindo a janela de exposição a campanhas como a do AGINGFLY.
Medidas de mitigação para instituições de saúde e governo
Diante desse cenário, algumas práticas se tornam especialmente críticas para reduzir o impacto de ameaças semelhantes:
1. Fortalecimento de políticas de e-mail:
– Implementação rigorosa de filtros antispam e antivírus em gateways de e-mail.
– Adoção de autenticação de remetentes (SPF, DKIM, DMARC) para reduzir spoofing.
– Campanhas contínuas de conscientização sobre arquivos LNK, anexos suspeitos e links encurtados.
2. Restrição ao uso de ferramentas nativas abusadas por atacantes:
– Monitoramento e, quando possível, limitação do uso de mshta.exe e outros binários frequentemente explorados.
– Criação de regras específicas em soluções EDR e antivírus para detectar padrões de execução anômalos.
3. Segregação de rede e princípio de privilégio mínimo:
– Separação de redes administrativas, clínicas e de visitantes para conter movimentação lateral.
– Concessão de privilégios apenas estritamente necessários para cada função, reduzindo o potencial de escalonamento de acesso.
4. Monitoramento focado em navegadores e mensageria:
– Auditoria de extensões e plugins instalados em navegadores corporativos.
– Orientação clara sobre o uso responsável do WhatsApp e outros mensageiros em contextos profissionais, evitando o compartilhamento de dados sensíveis.
5. Planos de resposta a incidentes atualizados:
– Procedimentos claros de isolamento de máquinas suspeitas.
– Rotinas de backup e recuperação testadas regularmente, garantindo continuidade de serviços em caso de comprometimento.
Impactos de longo prazo e lições para a segurança
Os incidentes associados ao AGINGFLY vão além de um simples episódio pontual. Eles ilustram como grupos organizados têm buscado alvos onde o impacto de uma interrupção tende a ser devastador, seja pela criticidade dos serviços de saúde, seja pela dependência da população em serviços estatais.
A campanha demonstra também a maturidade dos atacantes na combinação de engenharia social, abuso de ferramentas legítimas do sistema e malware modular capaz de se adaptar a diferentes ambientes. Isso exige das instituições um olhar mais estratégico sobre segurança, tratando-a como parte essencial da continuidade de negócios e não apenas como um custo de tecnologia.
Por fim, reforça-se a necessidade de integração entre equipes técnicas, gestão de risco, liderança executiva e áreas operacionais. Em hospitais e órgãos públicos, decisões sobre segurança digital não podem ficar restritas ao departamento de TI; elas impactam diretamente a capacidade de atender pacientes, manter programas sociais funcionando e garantir serviços básicos à população.
Como se preparar para as próximas campanhas
Embora a campanha atual tenha sido observada em um intervalo específico de tempo, é pouco provável que ameaças semelhantes desapareçam. Pelo contrário, a tendência é que grupos como o UAC-0247 reutilizem táticas bem-sucedidas, ajustando detalhes para driblar novas defesas.
Organizações que hoje se dedicarem a mapear seus pontos fracos, investir em CTI, fortalecer processos de resposta a incidentes e criar uma cultura de segurança entre colaboradores estarão em posição muito mais favorável quando a próxima onda de ataques surgir.
O caso do AGINGFLY serve, portanto, como um alerta claro: ambientes de saúde e administração pública deixaram de ser apenas “possíveis alvos” e se consolidaram como alvos prioritários. Encarar essa realidade e agir preventivamente é, mais do que uma recomendação técnica, uma necessidade crítica para proteger vidas, dados e serviços essenciais.