Hackers estão atraindo usuários com utilitários de jogos adulterados para distribuir um trojan de acesso remoto (RAT) baseado em Java. As ferramentas maliciosas estão sendo disseminadas por meio de navegadores e plataformas de chat, explorando o interesse de gamers por mods e softwares auxiliares.

De acordo com a equipe de inteligência da Microsoft, o ataque começa com um downloader malicioso que instala um ambiente portátil de execução Java e executa um arquivo JAR chamado “jd-gui.jar”. Para dificultar a detecção, o invasor utiliza PowerShell e técnicas conhecidas como “living-off-the-land”, explorando binários legítimos do Windows — como o cmstp.exe — para executar o código de forma furtiva.

A cadeia de ataque também apaga o downloader inicial para reduzir rastros e adiciona exclusões no Microsoft Defender, impedindo que os componentes do RAT sejam identificados como ameaça. A persistência é garantida por meio da criação de tarefa agendada e de um script de inicialização do Windows chamado “world.vbs”.

Uma vez ativo, o malware se conecta a um servidor externo (79.110.49[.]15) para comunicação de comando e controle (C2). A partir daí, o invasor pode exfiltrar dados sensíveis e implantar cargas adicionais. Segundo a Microsoft, trata-se de um malware multifuncional que atua como loader, downloader e RAT, ampliando o impacto do comprometimento.

Como medidas de defesa, especialistas recomendam auditar exclusões configuradas no Microsoft Defender, revisar tarefas agendadas suspeitas, remover scripts maliciosos, isolar endpoints afetados e redefinir credenciais de usuários que acessaram máquinas comprometidas.

A divulgação ocorre ao mesmo tempo em que a empresa BlackFog detalhou uma nova família de malware chamada Steaelite, promovida em fóruns clandestinos desde novembro de 2025 como um “Windows RAT totalmente indetectável”. Compatível com Windows 10 e 11, a ameaça se destaca por integrar roubo de dados e ransomware em um único painel web de controle.

Diferentemente de outros RATs vendidos no submundo digital, o Steaelite reúne espionagem, execução remota de código, keylogging, chat entre invasor e vítima, busca de arquivos, propagação via USB, bypass de UAC e funcionalidades de clipper (roubo de dados copiados para a área de transferência). O painel ainda permite desativar o Microsoft Defender, remover malwares concorrentes e manter persistência no sistema.

Entre as capacidades mais críticas estão acesso remoto à webcam e microfone, transmissão ao vivo da tela, roubo de senhas, monitoramento da área de transferência, enumeração de programas instalados, rastreamento de localização e execução arbitrária de arquivos. Além disso, o operador pode implantar ransomware diretamente pelo mesmo painel, viabilizando ataques de dupla extorsão — combinando vazamento de dados e criptografia de arquivos.

Outras duas famílias recentes, chamadas DesckVB RAT e KazakRAT, também foram identificadas por pesquisadores. O KazakRAT, segundo análises da Ctrl Alt Intel, pode estar ligado a um cluster com possível apoio estatal, mirando entidades do Cazaquistão e do Afeganistão em uma campanha ativa desde pelo menos agosto de 2022.

O cenário reforça uma tendência preocupante: ferramentas de acesso remoto estão cada vez mais completas, fáceis de operar e disponíveis como serviço, permitindo que um único hacker conduza espionagem, roubo de credenciais e ataques de ransomware a partir de um único painel.