---
title: "Velvet Tempest: Dissecando a Engenharia Por Trás do Malvertising e Ransomware"
author: "Luan Andrade"
published: 2026-04-16T16:24:15.055+00:00
updated: 2026-07-09T04:15:16.719342+00:00
section: "IA & Inovação"
canonical: https://bitflowtech.com.br/artigo/velvet-tempest-dissecando-a-engenharia-por-tras-do-malvertising-e-ransomware-mo0mbutw
source: BitFlow Tech
license: "Citação permitida com atribuição e link para a URL canônica."
---

# Velvet Tempest: Dissecando a Engenharia Por Trás do Malvertising e Ransomware

> Mais uma vez, a engenharia de segurança corporativa é posta à prova por uma falha básica: a confiança do usuário. O grupo Velvet Tempest, ou DEV-0504, demonstra como a persistência e o abuso de funcionalidades nativas do sistema ainda são a rota mais eficaz para o caos.

**Autor:** Luan Andrade  
**Publicado:** 2026-04-16  
**Seção:** IA & Inovação  
**Original:** https://bitflowtech.com.br/artigo/velvet-tempest-dissecando-a-engenharia-por-tras-do-malvertising-e-ransomware-mo0mbutw

![Velvet Tempest: Dissecando a Engenharia Por Trás do Malvertising e Ransomware](https://qbgwyoweznyfgawghggl.supabase.co/storage/v1/object/public/covers/velvet-tempest-dissecando-a-engenharia-por-tras-do-malvertising-e-ransomware-mo0mbutw-1776291891060.jpg)

---

**Mais uma vez, a engenharia de segurança corporativa é posta à prova por uma falha básica: a confiança do usuário. O grupo Velvet Tempest, ou DEV-0504, demonstra como a persistência e o abuso de funcionalidades nativas do sistema ainda são a rota mais eficaz para o caos.**

# Velvet Tempest: Dissecando a Engenharia Por Trás do Malvertising e Ransomware

Mais uma vez, a engenharia de segurança corporativa é posta à prova por uma falha básica: a confiança do usuário. O grupo Velvet Tempest, ou DEV-0504, demonstra como a persistência e o abuso de funcionalidades nativas do sistema ainda são a rota mais eficaz para o caos.

A MalBeacon, em um postmortem detalhado, expôs 12 dias de operação desse grupo, simulando uma organização com mais de 3.000 máquinas. O cenário é familiar: a superfície de ataque se expande, e a linha entre o legítimo e o malicioso se torna cada vez mais tênue, um verdadeiro pesadelo para qualquer Tech Lead.

## O Vetor Inicial: Engenharia Social Como Service

A porta de entrada para o Velvet Tempest não é um 0-day exótico ou uma falha de protocolo complexa. É o bom e velho malvertising, uma técnica que explora a publicidade online para direcionar vítimas a páginas falsas. Isso não é inovação, é a repetição de um débito técnico crônico: a falta de treinamento e conscientização do usuário final.

A arquitetura do golpe é simples, mas eficaz. Uma página falsa apresenta um CAPTCHA fraudulento, seguido pela técnica "ClickFix". Aqui, o usuário é instruído a abrir o

Windows Run (Win+R) e colar um comando que, convenientemente, já está na área de transferência. É um *one-liner* malicioso, executado com privilégios de usuário, que deveria soar alarmante, mas passa batido.

> "Pressione Win+R, cole o comando e aperte Enter para verificar sua conexão."

— O pop-up que deveria acender todas as luzes vermelhas do seu SIEM.

Essa abordagem é um tapa na cara de qualquer política de segurança que não contemple a falha humana como o elo mais fraco. Não há firewall que segure um usuário disposto a executar código arbitrário em sua própria máquina, especialmente quando a interface é projetada para parecer legítima.

## Living Off the Land: Abusando da Confiança do Sistema

Uma vez que o comando é executado, a verdadeira engenharia começa. O código inicial é ofuscado, uma prática padrão para evitar a detecção por ferramentas de segurança baseadas em assinaturas. O que se segue é uma cadeia de execução que abusa de ferramentas legítimas do próprio Windows, a famosa estratégia "Living off the Land" (LotL).

Essa tática é um pesadelo para equipes de SOC. Como diferenciar o uso legítimo de ferramentas como

PowerShell, 

wmic ou até mesmo o arcaico 

finger.exe de atividades maliciosas? A resposta é complexa e exige monitoramento comportamental avançado, algo que muitos sistemas de segurança legados simplesmente não oferecem.

O

finger.exe, um utilitário de rede quase esquecido, foi usado para baixar os primeiros *loaders*. Isso é um exemplo clássico de como os atacantes exploram a "superfície de ataque oculta" – ferramentas que existem no sistema, mas raramente são auditadas ou monitoradas, criando um ponto cego perfeito para a infiltração.

Os *loaders*, por sua vez, não causam dano direto. Eles são o *bootstrap* para o payload principal, muitas vezes disfarçados como arquivos inofensivos, como um PDF compactado. É uma arquitetura modular, onde cada componente tem uma função específica, minimizando o risco de detecção em cada etapa e facilitando a refatoração de vetores de ataque.

## Hands-on Keyboard: O Pós-Exploração e o Mapeamento da Rede

Após a fase inicial automatizada, operadores humanos assumem o controle direto da rede. Essa transição para o "hands-on keyboard" é o ponto onde a sofisticação do ataque atinge seu pico. Um humano é adaptável, pode contornar defesas, escalar privilégios e tomar decisões em tempo real, algo que scripts automatizados não conseguem replicar com a mesma eficácia.

O primeiro passo crucial é o reconhecimento do Active Directory. Para um engenheiro de sistemas, o Active Directory é o mapa de poder da organização. Mapear suas contas, grupos e permissões é como ter o diagrama de arquitetura completo da rede, revelando os caminhos mais curtos para a exfiltração de dados e a implantação de ransomware. [Essa interconexão entre diferentes grupos de ransomware](/artigo/falha-critica-malware-no-github-explora-extensoes-de-navegador-mmjptjnq), agindo como afiliados ou compartilhando recursos, é um indicativo da maturidade e industrialização do cibercrime. Não estamos falando de hackers solitários, mas de verdadeiras "empresas" com modelos de negócios bem definidos e cadeias de suprimentos de malware.

## Payload Final: DonutLoader, CastleRAT e a Persistência Silenciosa

Nos estágios finais, o Velvet Tempest implantou dois malwares de alto calibre: o DonutLoader e o CastleRAT. O DonutLoader é um exemplo de execução *fileless*, injetando código diretamente na memória dos processos. Isso é um pesadelo para antivírus tradicionais, que dependem da análise de arquivos em disco. Sem um arquivo para escanear, a detecção se torna exponencialmente mais difícil, exigindo soluções EDR/XDR com capacidade de monitoramento de memória e comportamento.

O CastleRAT, um Trojan de Acesso Remoto, concede aos atacantes controle total sobre a máquina comprometida. Visualização de tela, execução de comandos, transferência de arquivos, keylogging – tudo isso sem a necessidade de presença física. É a porta dos fundos definitiva, garantindo persistência e controle para futuras operações, como a exfiltração de dados ou a implantação do ransomware final.

A persistência é garantida com componentes baseados em Python, instalados na pasta

C:\ProgramData. Este diretório é reservado para dados de aplicativos legítimos, o que ajuda a camuflar a presença do malware. É uma tática antiga, mas que continua eficaz, explorando a confiança implícita do sistema em seus próprios diretórios.

Embora o ransomware Termite não tenha sido implantado nesta intrusão específica, o modelo de dupla extorsão do Velvet Tempest é bem conhecido. [Roubo de dados seguido de criptografia](/artigo/vazamento-de-dados-a-conta-chega-e-o-prejuizo-e-seu-mm4lrbpc), com a ameaça de publicação dos dados roubados, cria uma pressão imensa sobre as vítimas, mesmo aquelas com backups robustos. É um ataque que mira tanto a disponibilidade quanto a confidencialidade dos dados.

## Veredito do Engenheiro: Débito Técnico e a Ilusão de Segurança

O caso Velvet Tempest é um lembrete brutal de que a segurança não é um produto, mas um processo contínuo de mitigação de riscos e gerenciamento de débito técnico. A dependência excessiva de soluções de segurança reativas, a falta de treinamento de usuários e a negligência na monitorização de comportamentos anômalos dentro da própria rede são falhas arquitetônicas que continuam a ser exploradas.

A engenharia por trás desses ataques é pragmática e eficiente. Eles não reinventam a roda, mas otimizam vetores de ataque conhecidos, explorando as fraquezas humanas e as lacunas nas defesas corporativas. A lição é clara: invista em EDR/XDR, em monitoramento de comportamento, em políticas de menor privilégio e, acima de tudo, em uma cultura de segurança que trate cada usuário como um potencial vetor de ataque.

Ignorar esses princípios é assinar um contrato de serviço com o próximo grupo de ransomware. A infraestrutura é tão forte quanto seu elo mais fraco, e, no fim das contas, o elo mais fraco ainda é o ser humano que clica onde não deve ou cola um comando sem questionar.

---

_© 2026 BitFlow Tech. Conteúdo original — citação permitida com atribuição e link para https://bitflowtech.com.br/artigo/velvet-tempest-dissecando-a-engenharia-por-tras-do-malvertising-e-ransomware-mo0mbutw._
