Uma nova onda de ataques cibernéticos mostrou como áreas financeiras continuam entre os alvos mais sensíveis dentro das empresas. Desta vez, hackers conseguiram desviar milhões de rublos de companhias russas após invadir computadores de profissionais da contabilidade e transformar transações fraudulentas em pagamentos que pareciam fazer parte da folha salarial.

De acordo com um relatório divulgado nesta semana pela empresa russa de cibersegurança F6, a campanha foi conduzida pelo grupo Hive0117 entre fevereiro e março de 2026, com foco direto em departamentos financeiros corporativos. A operação chamou atenção não apenas pelo volume de organizações atingidas, mas pela forma cuidadosa como os invasores adaptaram sua abordagem para explorar rotinas comuns de trabalho e mecanismos bancários usados diariamente pelas empresas.

Segundo a análise, mais de 3 mil organizações russas receberam os e-mails maliciosos enviados pelos hackers. O maior roubo confirmado ultrapassou 14 milhões de rublos, o equivalente a cerca de US$ 178 mil. A estratégia era relativamente simples na aparência, mas sofisticada na execução: os criminosos enviavam mensagens de phishing direcionadas a funcionários das áreas de contabilidade e finanças, se passando por contatos legítimos e utilizando documentos aparentemente rotineiros como isca.

Os e-mails partiam de contas que aparentavam ser confiáveis, possivelmente comprometidas anteriormente. Entre elas, estava inclusive uma conta ligada a uma desenvolvedora de aplicações web e mobile sediada em Moscou. Os anexos eram enviados em arquivos protegidos por senha e apresentados como documentos corporativos comuns, como notas fiscais, comprovantes de conciliação e papéis relacionados a remessas e transporte. Esse detalhe ajudava a reduzir a desconfiança das vítimas, já acostumadas a lidar com esse tipo de material no dia a dia.

Quando o funcionário abria o arquivo compactado e executava um arquivo oculto em seu interior, o computador era infectado pelo malware DarkWatchman, um trojan de acesso remoto já conhecido no cenário de ameaças. Esse malware permite que os hackers mantenham controle furtivo sobre a máquina comprometida, executem comandos remotamente, baixem ferramentas adicionais e até se movimentem lateralmente dentro da rede corporativa, ampliando o alcance do ataque.

Com acesso ao equipamento de um contador ou analista financeiro, os invasores conseguiam entrar nos sistemas bancários remotos usados pelas empresas para gerenciar pagamentos. Esse é um dos pontos mais críticos da operação: como as ações eram executadas a partir de uma máquina legítima, utilizada por um colaborador autorizado, as transações tinham aparência de normalidade. Na prática, os hackers operavam “por dentro” do ambiente financeiro da organização, reduzindo a chance de bloqueios imediatos por sistemas de segurança.

Na campanha mais recente, o grupo explorou o próprio mecanismo de folha de pagamento para criar ordens de transferência associadas a contas bancárias registradas de forma aparentemente legítima. Esses registros davam a impressão de pertencer a funcionários, mas, na realidade, eram controlados pelos próprios hackers. Se o banco não identificasse o desvio como suspeito durante as verificações antifraude, os valores eram liberados e posteriormente sacados pelos criminosos.

O caso evidencia uma tendência importante no cibercrime financeiro: em vez de depender apenas de roubo de credenciais ou ataques genéricos, grupos hackers estão cada vez mais focados em simular processos empresariais legítimos. Ao imitar pagamentos salariais, os invasores exploram justamente uma das rotinas mais previsíveis e críticas das empresas, criando um cenário em que fraude e operação legítima passam a se confundir.

O Hive0117 está ativo desde o fim de 2021 e tem como principal alvo departamentos financeiros de empresas de diferentes setores. Embora a maior parte da atividade recente tenha se concentrado na Rússia, campanhas anteriores já atingiram usuários na Lituânia, Estônia, Belarus e Cazaquistão. Segundo a F6, não há indícios de que as operações do grupo estejam ligadas diretamente ao conflito cibernético mais amplo entre Rússia e Ucrânia, e a origem dos hackers ainda permanece desconhecida.

Essa não é a primeira vez que o grupo utiliza o DarkWatchman em suas campanhas. Em 2025, a mesma empresa já havia relatado ataques contra empresas russas com uma versão modificada do malware. Antes disso, em 2023, pesquisadores também observaram o Hive0117 se passando por comunicações oficiais do governo russo em mensagens de phishing disfarçadas de notificações de alistamento militar, distribuindo a mesma família de malware.

O episódio reforça um alerta já conhecido, mas ainda subestimado por muitas empresas: o setor financeiro continua sendo um dos pontos mais críticos para a segurança corporativa. Não basta apenas treinar usuários para evitar anexos suspeitos. É necessário revisar processos de autorização bancária, validar fluxos de pagamento, aplicar autenticação forte, restringir privilégios e monitorar com mais profundidade atividades realizadas a partir de estações que operam funções sensíveis. Quando um ataque consegue se misturar à rotina operacional, o prejuízo pode surgir antes mesmo que qualquer alerta seja disparado.