O FBI e a CISA atualizaram um alerta publicado em março sobre campanhas de phishing conduzidas por hackers ligados aos serviços de inteligência da Rússia contra contas de aplicativos de mensagens, incluindo Signal e WhatsApp. A nova versão do comunicado descreve uma evolução na tática dos invasores: além de tentar obter códigos de verificação, PINs ou vincular dispositivos não autorizados às contas das vítimas, os operadores agora buscam convencer alvos a entregar a Backup Recovery Key do Signal.

A chave de recuperação de backup é um componente sensível do Signal usado para restaurar o histórico de mensagens a partir de backups. Segundo o alerta, caso a vítima forneça essa chave uma única vez, o invasor pode restaurar o backup da conta, acessar o histórico de mensagens privadas e de grupos e assumir o controle da conta. O risco é ampliado porque a chave pode continuar funcional mesmo se a vítima criar uma nova conta usando o mesmo número de telefone.

A recomendação das autoridades é direta: usuários que suspeitam ter compartilhado a chave devem gerar imediatamente uma nova Backup Recovery Key nas configurações do Signal. Essa ação invalida a chave anterior para futuros downloads de backup, mas não recupera o controle sobre informações que já possam ter sido acessadas pelos invasores.

O alerta atualizado, identificado como PSA I-062626-PSA, adiciona dois nomes públicos de rastreamento que não apareciam na comunicação de março: UNC5792 e UNC4221. O FBI associa a atividade a múltiplos grupos vinculados aos Russian Intelligence Services, incluindo oficiais do FSB incorporados à Guarda de Fronteira do FSB e outros operadores atuando em nome dos serviços militares russos.

A campanha mira indivíduos considerados de alto valor para inteligência, como atuais e ex-funcionários de governos dos Estados Unidos e de outros países, militares, figuras políticas, jornalistas e autoridades na Ucrânia. No aviso anterior, publicado em março, as agências já afirmavam que a operação mais ampla havia comprometido milhares de contas em diferentes países.

A abordagem se baseia em engenharia social. As mensagens de phishing se passam por comunicações de suporte do Signal e tentam criar senso de urgência ou legitimidade. Em ondas anteriores, os invasores solicitavam códigos de verificação por SMS e PINs da conta, ou usavam links adulterados de “convite para grupo” que, na prática, permitiam vincular silenciosamente um dispositivo controlado pelo atacante à conta da vítima.

Na versão atual da campanha, os criminosos orientam a vítima a ativar os backups do Signal, abrir a Recovery Key e colar a chave diretamente na conversa. O alerta das autoridades descreve exemplos de mensagens fraudulentas que simulam uma suposta implantação obrigatória de autenticação em dois fatores ou uma correção urgente de “recuperação de dados” para mensagens que estariam em risco de perda.

A técnica não representa uma quebra da criptografia do Signal nem uma exploração direta contra o aplicativo. O FBI e a CISA destacam que os invasores comprometem contas individuais por meio de manipulação psicológica e abuso de funcionalidades legítimas. Ou seja, a criptografia permanece funcional, mas a conta é exposta quando o usuário entrega credenciais, códigos, PINs ou chaves sensíveis aos operadores da campanha.

Esse ponto é relevante porque aplicativos como Signal, WhatsApp e Telegram são amplamente utilizados por jornalistas, autoridades, diplomatas, militares e profissionais envolvidos em temas sensíveis. A segurança criptográfica dessas plataformas reduz a exposição de comunicações em trânsito, mas não elimina riscos associados à engenharia social, roubo de conta, vinculação indevida de dispositivos e acesso a backups.

Além da atualização do alerta, o programa Rewards for Justice, do Departamento de Estado dos Estados Unidos, oferece recompensa de até US$ 10 milhões por informações sobre o UNC5792. A iniciativa reforça o peso atribuído pelo governo norte-americano à campanha e à associação dos operadores com atividades de inteligência estrangeira.

A atividade também se sobrepõe a alertas emitidos por órgãos europeus de inteligência e segurança cibernética, incluindo AIVD e MIVD, dos Países Baixos, BfV e BSI, da Alemanha, e ANSSI, da França. O Google Threat Intelligence Group já havia documentado, no início de 2025, o abuso do recurso de dispositivos vinculados do Signal pelo UNC5792, além de observar técnicas semelhantes contra WhatsApp e Telegram.

Para usuários potencialmente visados, a orientação principal é tratar qualquer mensagem dentro do aplicativo que alegue ser do suporte do Signal como maliciosa. O suporte legítimo não solicita códigos de verificação, PINs ou chaves de recuperação por meio de conversas no próprio aplicativo. Esses dados nunca devem ser colados em chats, enviados por mensagem ou compartilhados com terceiros.

Também é recomendável abrir as configurações do aplicativo, verificar a seção de dispositivos vinculados e remover qualquer dispositivo desconhecido. Caso a Backup Recovery Key tenha sido compartilhada, o usuário deve gerar uma nova chave imediatamente e considerar que backups anteriores podem ter sido acessados.

A evolução da campanha mostra uma mudança importante na estratégia dos invasores. Em vez de depender apenas de códigos temporários ou PINs, os operadores passaram a mirar uma chave capaz de abrir todo o histórico armazenado em backup. A criptografia do aplicativo continua protegendo as comunicações, mas o ponto fraco explorado é a conta do usuário — e, principalmente, a confiança da pessoa que está sendo manipulada.