Uma operação de malware voltada ao roubo de informações, batizada Arkanix Stealer, foi divulgada em diversos fóruns da dark web no final de 2025 e possivelmente desenvolvida como um experimento assistido por inteligência artificial (IA).
O projeto contou com um painel de controle e um servidor Discord para comunicação com os usuários, ambos removidos pelo autor sem aviso prévio, apenas dois meses após o início da operação.
Arkanix apresentava funcionalidades comuns a malwares desse tipo, com arquitetura modular e mecanismos anti-análise para dificultar a detecção.
Pesquisadores da Kaspersky identificaram indícios de que a ferramenta foi criada com o auxílio de Large Language Models (LLMs), o que pode ter reduzido significativamente o tempo e os custos de desenvolvimento.
Acredita-se que Arkanix tenha sido um projeto de curta duração — criado para obter ganhos financeiros rápidos — o que dificulta ainda mais sua detecção e rastreamento.
Sua propagação nos fóruns hackers teve início em outubro de 2025, oferecendo duas opções aos clientes: uma versão básica escrita em Python e uma “premium” nativa em C++, protegida pelo VMProtect e com recursos avançados, como evasão de antivírus e injeção em carteiras de criptomoedas.
O servidor Discord criado pelo desenvolvedor funcionava como espaço para atualizações, troca de feedback e suporte técnico.
Um programa de indicações incentivava a expansão da base de usuários, oferecendo acesso gratuito de uma hora à versão premium para quem indicava, e uma semana grátis para novos clientes.
O malware Arkanix é capaz de coletar informações do sistema, roubar dados dos navegadores (histórico, autofill, cookies e senhas) e acessar carteiras de criptomoedas em 22 navegadores diferentes.
Os pesquisadores da Kaspersky destacam que ele também pode extrair tokens OAuth2 em browsers baseados no Chromium.
Além disso, o malware rouba dados do Telegram, credenciais do Discord, se espalha via API do Discord e envia mensagens para amigos e canais das vítimas.
Arkanix também mira credenciais de serviços VPN, como Mullvad, NordVPN, ExpressVPN e ProtonVPN.
Pode arquivar arquivos do sistema local para exfiltração assíncrona.
A partir do comando e controle, o malware pode baixar módulos adicionais, como um Chrome grabber, patcher para carteiras Exodus ou Atomic, ferramenta de captura de tela, HVNC e roubadores para FileZilla e Steam.
A versão premium em C++ inclui funcionalidades extras, como roubo de credenciais RDP, verificações anti-sandbox e anti-debug, captura de tela via WinAPI, além de foco em plataformas como Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect e GOG.
Também entrega a ferramenta de pós-exploração ChromElevator, que injeta código em processos de navegador suspensos para roubo de dados, projetada para contornar a proteção App-Bound Encryption (ABE) do Google, que dificulta o acesso não autorizado a credenciais de usuário.
O real objetivo por trás do experimento Arkanix ainda é incerto.
Pode ser uma tentativa de avaliar como a assistência de LLMs pode acelerar o desenvolvimento de malware e a rápida implementação de novos recursos para a comunidade.
A análise da Kaspersky conclui que Arkanix se assemelha mais a um produto público de software do que a um típico stealer obscuro.
Os pesquisadores disponibilizaram uma lista completa de indicadores de comprometimento (IoCs), incluindo hashes de arquivos detectados, além de domínios e endereços IP relacionados à operação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...