Atacantes desconhecidos passaram pelo menos cinco meses dentro da caixa de correio Outlook de um executivo sênior de uma grande bolsa de valores global, copiando a caixa de entrada em pequenos lotes repetidos e encaminhando o tráfego por meio do Dropbox e do OneDrive para que a movimentação se misturasse à atividade normal de serviços em nuvem.
A campanha foi reportada nesta semana pelas equipes Threat Hunter da Symantec e da Carbon Black.
Os indícios apontam para espionagem, e não para ganho financeiro.
Segundo a Symantec, os comandos identificados indicam coleta de inteligência, não roubo para lucro.
Nem o executivo nem a bolsa foram identificados.
Ainda assim, o valor estratégico é evidente: a caixa de entrada de um executivo de bolsa pode conter detalhes não públicos sobre listagens, ações regulatórias, termos de negociações, planos capazes de movimentar o mercado, além da agenda e dos contatos do profissional.
Cinco meses de acesso silencioso deram ao atacante uma visão detalhada das decisões do executivo e da direção da organização, sem a necessidade de ampliar o acesso a outros sistemas corporativos.
A primeira atividade maliciosa apareceu em 10 de outubro de 2025.
Nessa altura, o atacante já executava dois binários com privilégios de SYSTEM, o nível mais alto no Windows, sendo que um se passava pelo atualizador da Adobe e o outro fingia ser o OneDrive.
Quando os defensores perceberam algo suspeito, o invasor já tinha controle total da máquina, e ainda não se sabe como o acesso inicial foi obtido.
A Symantec confirmou, porém, que os primeiros sinais provavelmente vieram de movimento lateral a partir de um dispositivo já comprometido.
A operação ganhou ritmo em 12 de novembro.
O atacante obteve um token da API do Dropbox, começou a enviar dados com curl e implantou a principal ferramenta da campanha: um coletor de caixa de correio baseado no Aspose, uma biblioteca legítima de .NET que lê arquivos OST e PST do Outlook.
Embalado em um executável, ele convertia a caixa de correio para PST e gravava o arquivo no disco, sendo executado sempre com uma senha e um parâmetro de intervalo de datas.
Na primeira execução, a ferramenta coletou tudo a partir de agosto de 2025.
Depois disso, o atacante voltou a agir a cada duas a quatro semanas, sempre extraindo apenas os dias desde a última coleta, em mais oito execuções até 17 de fevereiro de 2026.
O resultado foi uma cópia quase contínua da caixa de correio, fragmentada em blocos pequenos o suficiente para não chamar a atenção dos sistemas de segurança.
O sigilo veio da tentativa de fazer o trabalho parecer rotineiro.
Tarefas agendadas se passavam por serviços do Adobe, da Lenovo e do OneDrive.
Para a exfiltração, o atacante usou Dropbox e OneDrive Personal.
No caso do OneDrive, ele se conectou a endereços IP codificados da Microsoft em vez de usar o hostname onedrive.live.com, o que eliminou consultas DNS que uma ferramenta de perímetro poderia detectar ou bloquear.
O atacante também testou o serviço público de hospedagem de arquivos temp.sh uma vez em novembro, mas depois abandonou o uso.
A última atividade observada, em 19 de março de 2026, foi um novo backdoor preparado, mas nunca executado.
Segundo a Symantec, isso pode indicar que o atacante perdeu o acesso pouco depois.
Os indicadores publicados pela Symantec apontam para um kit de intrusão mais amplo, e não apenas para um coletor de caixa de correio.
Entre as ferramentas citadas estão FRPC para tunelamento de tráfego, Secretsdump para extração de credenciais do Windows, SharpDecryptPwd para recuperar senhas salvas de aplicativos e uma ferramenta para burlar o controle de contas de usuário do Windows.
O relatório não informa como cada uma foi usada neste caso, e nenhuma delas, isoladamente, aponta para um grupo específico.
Não há CVE nesta história.
Trata-se de uma intrusão contra a caixa de correio de uma pessoa, e não da exploração de uma falha recém-divulgada.
Isso ajuda a explicar por que o caso merece atenção: aqui, nenhum patch encerra o problema, e o foco passa a ser monitoramento e resposta.
A atribuição também segue em aberto.
A combinação de ferramentas públicas e serviços de nuvem para consumidores deixou poucos vestígios que permitam associar a atividade a um grupo conhecido, e essa situação permanece até que surja uma fonte mais forte.
Direcionar a exfiltração por Dropbox e OneDrive para parecer atividade legítima é uma tática já conhecida, e a Microsoft já apontou esse método como uma forma deliberada de contornar defesas de perímetro e dificultar a atribuição.
Se você defende uma bolsa, um órgão regulador ou qualquer empresa que lide com informações capazes de movimentar o mercado, carregue os hashes agora e monitore o comportamento associado a eles: atividade incomum de exportação de caixa de correio, acessos atípicos ao Outlook, uploads para contas pessoais do Dropbox ou do OneDrive, tunelamento inesperado e coleta de credenciais em sistemas ligados a usuários privilegiados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...