O Google informou na sexta-feira que abriu uma ação judicial contra uma rede chinesa de cibercrime acusada de usar o Gemini, seu agente de inteligência artificial, para apoiar campanhas de phishing por mensagens de texto contra usuários nos Estados Unidos.

Segundo a empresa, o grupo é responsável pelo desenvolvimento e pela administração de um kit de phishing-as-a-service, ou PhaaS, chamado Outsider. Esse tipo de serviço funciona como uma plataforma pronta para uso, permitindo que criminosos com pouco conhecimento técnico lancem campanhas de phishing em escala, criem sites falsos e roubem dados pessoais e financeiros das vítimas.

De acordo com o Google, a operação teria usado o Gemini para auxiliar na criação de páginas fraudulentas e na condução de ataques massivos de SMS phishing, prática também conhecida como smishing. As mensagens se passavam por marcas legítimas e alertavam os destinatários sobre supostos “problemas em contas de corretoras” ou informavam que eles teriam direito a “recompensas por meio de sua operadora de telefonia móvel”.

As mensagens induziam os usuários a clicar em links que levavam a sites falsos, desenhados para imitar instituições confiáveis. Nessas páginas, as vítimas eram levadas a informar dados pessoais, credenciais bancárias, números de cartões de crédito e outras informações sensíveis.

O Google afirma que a ação judicial tem como objetivo desmantelar a infraestrutura da rede. A empresa também informou que está trabalhando com AT&T, T-Mobile e Verizon para impedir que mensagens desse tipo cheguem aos clientes das operadoras.

As operações do Outsider, segundo a companhia, eram coordenadas pelo Telegram. Por meio da plataforma, o grupo distribuía kits de phishing que permitiam a outros invasores enviar mensagens falsas em nome de marcas conhecidas. Estima-se que os golpes tenham feito mais de 100 mil vítimas, causando prejuízos de milhões de dólares.

Entre 14 de novembro de 2025 e 14 de abril de 2026, foram identificados 9 mil sites falsos e mais de 1,59 milhão de URLs fraudulentas associadas ao serviço de phishing. Em um período de duas semanas, entre 18 de maio e 1º de junho de 2026, o Outsider foi responsável por 55 mil mensagens de spam sinalizadas por usuários Android.

No mesmo intervalo, a rede enviou 2,5 milhões de mensagens a usuários Android contendo links para sites gerados pelo Outsider. O kit era vendido por valores a partir de US$ 88 por semana ou US$ 200 por mês, permitindo que criminosos criassem páginas fraudulentas, lançassem campanhas de phishing e roubassem números de cartões de crédito, credenciais bancárias e dados pessoais. A licença podia ser adquirida por meio de um bot de autoatendimento no Telegram, identificado como @OutsiderCodeBot.

O serviço também oferecia mais de 290 modelos prontos para imitar sites legítimos de instituições confiáveis, além de captura de teclas em tempo real e um painel de desempenho para acompanhar a efetividade das campanhas.

Na denúncia apresentada ao tribunal federal de Manhattan, o Google afirmou que a simplicidade “plug-and-play” do Outsider já era preocupante, mas que o grupo tornou a ferramenta ainda mais poderosa ao fornecer instruções passo a passo sobre como usar código gerado por inteligência artificial em conjunto com o kit.

Segundo a empresa, os membros da rede podiam usar ferramentas de IA para gerar código de programação para um site básico e, em seguida, copiar e colar esse código no Outsider para transformar a página em um site fraudulento capaz de roubar informações pessoais ou financeiras das vítimas.

O Google também informou que os prompts usados no Gemini e em outras plataformas de IA eram formulados como pedidos aparentemente inofensivos de ajuda com programação. As solicitações pediam, por exemplo, a geração de código HTML para criar uma página de “resgate de presente”, com funcionalidades específicas, orientando o modelo a evitar JavaScript e a usar CSS inline. Depois que o site falso era publicado, sua URL era enviada às possíveis vítimas por mensagem de texto.

A estrutura do chamado Outsider Enterprise seria composta por vários grupos interconectados, cada um com funções específicas na cadeia de ataque. O Developer Group fornecia o software de phishing e os modelos de páginas falsas. O Data Broker Group disponibilizava listas selecionadas de pessoas a serem atacadas. O Spammer Group oferecia as ferramentas para envio massivo de mensagens fraudulentas. O Theft Group ajudava a monetizar as informações roubadas, incluindo cartões de crédito e credenciais, além de lavar recursos obtidos com cartões comprometidos. Já o Telegram Group facilitava a colaboração entre os membros e o recrutamento de novos participantes.

Serviços como o Outsider reduzem drasticamente a barreira de entrada para fraudadores iniciantes, repetindo uma tendência já observada em plataformas como a Sniper Dz, recentemente desmantelada. Com kits prontos, modelos pré-configurados e suporte operacional, criminosos sem conhecimento avançado de programação conseguem lançar ataques convincentes com pouco esforço e em grande escala.

Brett Leatherman, diretor assistente da Divisão Cibernética do FBI, afirmou que os criminosos por trás do Outsider Enterprise construíram um negócio baseado na falsificação de marcas confiáveis para fraudar centenas de milhares de vítimas. Segundo ele, o uso de IA por criminosos tem tornado esse tipo de fraude mais convincente e mais difícil de detectar.

O FBI informou que a plataforma PhaaS foi responsável por ao menos 3,87 milhões de cartões de crédito roubados e por perdas estimadas em US$ 1,9 bilhão desde julho de 2023. Como parte de uma operação conjunta chamada Operation Ghost Hook, diversos domínios foram apreendidos, incluindo uma loja virtual na Shopify e uma conta usada para testar o serviço de phishing.

As autoridades também confiscaram aproximadamente US$ 100 mil em USDT de carteiras de pagamento ligadas ao Outsider. Além disso, milhares de domínios de phishing hospedados por provedores dos Estados Unidos foram interrompidos e redirecionados para uma página do FBI. A agência também afirmou ter usado um bot do Outsider no Telegram para obter informações sobre clientes da rede criminosa.

A Operation Ghost Hook faz parte da Operation Riptide, descrita pelo FBI como uma campanha em andamento contra agentes criminosos, infraestrutura e redes financeiras envolvidas em cibercrime, crimes habilitados por meios digitais e fraudes contra cidadãos norte-americanos.

O caso ocorre exatamente sete meses após o Google apresentar outra ação judicial nos Estados Unidos contra hackers baseados na China responsáveis pela plataforma de phishing-as-a-service Lighthouse, que atingiu mais de 1 milhão de usuários em 120 países.

Em atualização posterior, foi informado que o bot do Telegram usado para comprar licenças do Outsider, @OutsiderCodeBot, não estava mais acessível.