Atacantes desconhecidos passaram pelo menos cinco meses dentro da caixa de correio do Outlook de um executivo sênior de uma grande bolsa de valores global, copiando a caixa de entrada em lotes pequenos e repetidos e roteando os dados por Dropbox e OneDrive, para que o tráfego se misturasse à atividade normal na nuvem.
A Symantec e a equipe Threat Hunter Team da Carbon Black divulgaram a campanha nesta semana. O caso aponta para espionagem, não para um golpe financeiro: a Symantec afirmou que os comandos indicam coleta de inteligência, e não roubo com fins lucrativos.
Nem o executivo nem a bolsa foram identificados. O valor da informação é evidente: a caixa de entrada de um executivo de bolsa pode conter detalhes não públicos sobre listagens, questões de fiscalização, termos de negócios, planos com potencial de movimentar o mercado, além da agenda e dos contatos do executivo.
Cinco meses de acesso silencioso deram ao atacante uma leitura detalhada dos negócios do executivo e dos rumos da organização, sem necessidade de amplo acesso a outros sistemas corporativos.
A primeira atividade maliciosa apareceu em 10 de outubro de 2025. Nessa ocasião, o atacante já executava dois binários como SYSTEM (conta de sistema do Windows, com o nível mais alto de privilégio): um se passando pelo atualizador do Adobe e o outro fingindo ser o OneDrive. Quando os defensores perceberam algo, o invasor já tinha controle total da máquina, e a forma inicial de entrada ainda é desconhecida.
No entanto, a Symantec confirmou que os primeiros indícios provavelmente vieram de um movimento lateral a partir de um dispositivo previamente comprometido. A operação entrou em ação em 12 de novembro. O atacante obteve um token de API (Interface de Programação de Aplicações) do Dropbox, começou a enviar dados usando curl e implantou a ferramenta principal: um ladrão de caixas de correio construído sobre o Aspose, uma biblioteca .NET legítima que lê arquivos OST e PST (formatos de dados do Outlook) do Outlook. Empacotado em um executável, o malware convertia a caixa de correio para o formato PST e gravava o resultado em disco, sendo executado cada vez com uma senha e um sinalizador de intervalo de datas.
A primeira execução copiou tudo a partir de agosto de 2025. Depois disso, o atacante voltou a cada duas a quatro semanas, e cada execução pegava apenas os dias desde a última coleta —
