Quando a maioria das pessoas pensa em armas cibernéticas, imagina ferramentas construídas em laboratórios secretos do governo. Mas algumas das armas digitais mais poderosas da atualidade não começaram como projetos estatais. Eles nasceram no submundo do crime.
Um dos exemplos mais claros é o RomCom, um malware que começou como um trojan de acesso remoto (RAT) bastante comum e desde então evoluiu para um ecossistema flexível e modular conduzido por Estados-nação e invasores com fins lucrativos.
Vice-presidente de pesquisa de adversários, Attackiq.
A sua história mostra como os limites entre espionagem e crime organizado estão a confundir-se e porque é que a partilha de informações na comunidade de segurança cibernética nunca foi tão crítica.
Porta dos fundos para o campo de batalha
O RomCom apareceu pela primeira vez em 2022 como um backdoor que distribui versões falsas de aplicativos populares, uma isca clássica de engenharia social. Como muitos RATs, ele pode fazer capturas de tela, coletar informações básicas do sistema e estabelecer controle remoto. Nada de notável, até que os pesquisadores começaram a perceber onde ela aparecia.
As campanhas iniciais centraram-se na Ucrânia e nas nações alinhadas com a NATO, visando agências governamentais, grupos humanitários e organizações relacionadas com a defesa. O que inicialmente parecia ser um RAT rudimentar era agora parte de uma operação de inteligência mais ampla, com claras conotações geopolíticas.
A AttackIQ investigou mais profundamente e encontrou sobreposições entre a infraestrutura da RomCom e as operações de ransomware, sugerindo um único ator, ou pelo menos um kit de ferramentas compartilhado, trabalhando nas frentes de espionagem e com motivação econômica.
Essa mudança do lucro para a política marcou o início da transformação da RomCom.
Uma ameaça que muda de forma
Ao longo dos anos, o RomCom passou por diversas reescritas, passando por pelo menos cinco versões diferentes. Cada geração adicionou novos níveis de sofisticação, discrição e modularidade.
– As primeiras versões (1.0–2.0) focavam em furtividade e persistência, contando com o sequestro do Modelo de Objeto Componente (COM) do Windows para permanecerem ocultos nos sistemas infectados.
– As variantes intermediárias (3.0-4.0) introduziram uma arquitetura totalmente modular que permitiu aos operadores misturar e combinar componentes para espionagem, roubo de credenciais ou movimentação lateral.
– A versão mais recente (5.0) leva essa evolução ainda mais longe, usando desenvolvimento multilíngue em C++, Go, Rust e Lua para evitar detecção estática e suportar operações multiplataforma.
Agora ele é capaz de se comunicar por meio de canais criptografados, executar amplo conhecimento e manter sigilo por meio de execução na memória e carregamento baseado em log.
Em outras palavras, o RomCom não se comporta mais como um único malware. Ele atua como uma estrutura que pode ser customizada para espionagem, ransomware ou ataques disruptivos, dependendo do que está sendo utilizado.
Essa adaptabilidade é o que o torna tão perigoso. Depois que uma ameaça atinge a modularidade, ela pode ser infectada continuamente, transformando a ferramenta espiã de ontem no carregador de ransomware de amanhã.
Onde o crime encontra a política
A evolução do RomCom sublinha a crescente convergência entre o ecossistema criminoso e o Estado-nação. A evidência liga os seus operadores, seguidos por vários grupos de investigação com nomes como Storm-0978, UAT-5647 e Void Rabisu, a famílias de ransomware como Cuba, Industrial Spy e Underground.
Sobreposições de código, reutilização de infraestrutura e sequenciamento de ataques representam uma operação híbrida em que a mesma tecnologia central suporta roubo de dados e espionagem cibernética.
Este duplo propósito é significativo. Uma campanha que rouba dados sensíveis de um ministério governamental pode ter um objectivo de inteligência, enquanto outra que utiliza o mesmo conjunto de ferramentas para encriptar sistemas empresariais tem uma motivação puramente lucrativa. A infraestrutura permanece a mesma.
Esse tipo de malware de “uso duplo” desafia o modelo tradicional de ameaça. Já não é correcto rotular uma família como criminosa ou protegida pelo Estado, uma vez que muitos se encontram agora na zona cinzenta entre os dois. Para os defensores, isso significa preparar-se para ameaças que num dia agem como espiões e no dia seguinte como extorsionistas.
Inteligência construída em colaboração
A capacidade de acompanhar a evolução do RomCom não veio de uma única empresa ou governo. Nasceu dos esforços coletivos da comunidade global de inteligência contra ameaças. Ao longo de vários anos, pesquisadores independentes, órgãos públicos e laboratórios privados compartilharam amostras de códigos, indicadores comportamentais e dados de eventos que, quando conectados, revelaram o quadro operacional completo.
Esta transparência intersetorial transformou observações fragmentadas em inteligência acionável. Sem estes conjuntos de dados partilhados, o RomCom ainda pode aparecer como um punhado de campanhas não relacionadas, em vez de uma operação coordenada plurianual envolvendo espionagem e ransomware.
É uma prova do que a colaboração aberta pode alcançar. A comunidade de cibersegurança muitas vezes trabalha num silo competitivo, mas quando os dados sobre ameaças fluem livremente entre fornecedores, através das fronteiras e através de relatórios públicos, a visibilidade coletiva é multiplicada.
Esta visibilidade é agora mais essencial do que nunca. Ecossistemas de malware como o RomCom prosperam com a reutilização: o mesmo carregador ou módulo de criptografia pode ser removido e reaproveitado por novos atores em poucos dias. Somente através da inteligência partilhada é que os defensores podem ligar esses pontos com rapidez suficiente para responder.
Lições para defensores
A jornada da RomCom oferece diversas lições para as equipes de segurança que navegam no cenário de ameaças cada vez mais confuso:
1. A análise comportamental supera as assinaturas estáticas: Os indicadores tradicionais de engajamento (IOC) são passageiros. Ferramentas como o RomCom evoluem mais rápido do que as atualizações de assinaturas conseguem acompanhar. A detecção de comportamento malicioso, como manipulação incomum do registro COM ou tráfego HTTP POST codificado, fornece uma defesa mais durável.
2. A validação contínua é essencial: As organizações devem testar regularmente o desempenho de seus controles em relação às mesmas táticas, técnicas e procedimentos (TTP) usados por malware avançado. Simular ou emular esses comportamentos é a única forma de confirmar se a defesa está funcionando conforme o esperado.
3. A inteligência sobre ameaças deve ser operacionalizada: Relatórios, conjuntos de dados e telemetria compartilhados são tão valiosos quanto as ações que informam. Integrar a inteligência contra ameaças diretamente nas regras de detecção, nas consultas de busca e nos livretos de resposta transforma conhecimento em proteção.
4. Suponha uma sobreposição entre crime e espionagem: O mesmo ator pode estar por trás do ransomware hoje e da espionagem cibernética amanhã. As estratégias de defesa devem centrar-se na resiliência a ambas as motivações e não apenas a uma.
Em última análise, o RomCom lembra aos defensores que o cenário moderno de ameaças é fluido, adaptável e interconectado. Os atacantes colaboram mais do que nunca, por isso os defensores devem fazer o mesmo.
A nova forma de conflito cibernético
A jornada da RomCom, de um simples Trojan a uma versátil arma cibernética, reflete uma realidade mais ampla: o malware moderno não é mais uma ferramenta única, mas um ecossistema vivo. Seu design modular permite que estados-nação e grupos criminosos reutilizem, marquem e reimplantem os mesmos recursos em campanhas de espionagem, ransomware e disrupção.
Para os defensores, esta adaptabilidade exige o mesmo em troca. O esforço completo da RomCom mostra o que é possível quando investigadores, governos e empresas privadas partilham informações e validam defesas em conjunto.
Numa época em que o malware funciona como um canivete suíço, a única contramedida eficaz é uma defesa conjunta baseada na inteligência que transforme o conhecimento partilhado em poder partilhado.
Confira nossa lista dos melhores firewalls em nuvem.
