20 portais do governo brasileiro foram sequestrados para entregar malware. Criminosos comprometeram sites .gov.br, domínios que sua empresa provavelmente confia por padrão, e os transformaram em infraestrutura de entrega de malware bancário. A campanha se chama PhantomEnigma, detalhada pela ANY.RUN em 16 de julho de 2026. Nós analisamos a técnica e o sinal é claro: quando a infraestrutura confiada é comprometida, as camadas de confiança viram cegueira.
A técnica em camadas: email legítimo, domínio legítimo, malware real
O ataque funciona em camadas, segundo a ANY.RUN. Primeiro, comprometem caixas de email de departamentos de polícia. Esses emails passam SPF, DKIM e DMARC porque são genuínos. A caixa de email foi invadida, e as mensagens saíram de dentro do servidor legítimo. O destinatário recebe uma Intimação da Polícia Civil ou um Ofício que parece legítimo porque tecnicamente é legítimo.
O email redireciona para um portal .gov.br comprometido. O site, que sua ferramenta de segurança não bloqueia porque confia no domínio, entrega um backdoor modular em Node.js escondido dentro de um aplicativo Electron modificado. Cada camada abusa de uma confiança legítima. Não é um bypass de segurança. É o uso correto de segurança contra a vítima.
O alvo confirmado: Banco do Brasil e o plugin Warsaw
Segundo a ANY.RUN, o alvo confirmado da campanha é o Banco do Brasil. O malware verifica se a vítima acessa autoatendimento.bb.com.br e procura pelo Warsaw, o plugin de segurança bancária do Brasil. Não é um malware genérico. É um malware bancário específico, construído para interagir com a infraestrutura de autenticação de um banco brasileiro.
O backdoor modular em Node.js dentro do Electron modificado é a marca da campanha. Assinaturas não pegam porque o malware é novo e porque ele se esconde dentro de um framework legítimo. Detecção por assinatura depende de conhecer o payload. Detecção comportamental depende de entender o que o payload faz.
A escala: 231 análises, 60,3% no Brasil, campanha ativa
Segundo a ANY.RUN, 231 análises em sandbox foram registradas entre janeiro e julho de 2026. O Brasil representa 60,3% do cluster de entrega. A campanha continua ativa. Não é um incidente isolado. É uma operação contínua que abusa da confiança institucional em domínios .gov.br.
O CTIR Gov emitiu a Recomendação 02/2026 em setembro de 2025. A campanha continua em julho de 2026. Uma recomendação oficial é necessária, mas não substitui detecção comportamental no endpoint, WAF na borda e SOC 24/7 olhando para o tráfego.
A kill chain: do email ao beacon a cada 180 segundos
A kill chain do PhantomEnigma é deliberada e paciente, segundo a ANY.RUN. O email legítimo abre a porta. O portal .gov.br comprometido entrega o payload. O backdoor modular em Node.js dentro do Electron modificado estabelece persistência no endpoint. E então o malware começa a se comunicar com a infraestrutura de comando e controle.
Segundo a ANY.RUN, a campanha mantém beacons a cada 180 segundos. Esse intervalo não é aleatório. É calibrado para se misturar ao tráfego normal de background de um endpoint corporativo, evitando alertas de volumetria em SIEMs configurados para detectar picos. Um beacon a cada 3 minutos é silencioso o suficiente para passar despercebido por equipes que não estão fazendo threat hunting ativo. É exatamente esse padrão que um SOC 24/7 com threat hunting precisa identificar: não o pico, mas a constância.
A modularidade do backdoor é o segundo detalhe que importa. Por ser em Node.js dentro de Electron, o atacante pode injetar novos módulos em runtime, adaptando o comportamento do malware sem precisar de um novo deploy. Isso significa que a assinatura de hoje pode não servir amanhã. Detecção comportamental no endpoint não é uma opção. É a única camada que acompanha um payload que muda.
O problema estrutural: confiança por reputação vira cegueira
Aqui está o problema estrutural. Sua política de segurança confia em .gov.br. Sua ferramenta de email confia em SPF, DKIM e DMARC. Quando a infraestrutura confiada é comprometida, essas camadas de confiança viram cegueira.
O email passa porque o servidor é legítimo. O site não é bloqueado porque o domínio é confiável. O malware não é detectado porque a assinatura é desconhecida. Cada camada de confiança funciona corretamente. O problema é que a infraestrutura por trás dela foi comprometida. Zero Trust não é um slogan. É a única resposta arquitetural para um ataque que abusa exatamente da confiança que você já possui.
Nós vemos esse padrão repetidamente em auditorias de segurança corporativa. A lista de permissões baseada em reputação de domínio é tratada como controle definitivo, quando deveria ser apenas a primeira camada. Quando a origem confiável é comprometida, a lista de permissões vira a própria vulnerabilidade. O WAF na borda com Virtual Patching e o EDR comportamental no endpoint existem exatamente para esse cenário: validar o que o tráfego faz, não apenas de onde ele vem.
Conclusão: quando a infraestrutura confiada vira a arma
Quando a infraestrutura que você confia vira a arma, confiança por reputação vira vulnerabilidade. O PhantomEnigma não explora um bug de código. Ele explora a confiança legítima em domínios .gov.br, em SPF, DKIM e DMARC, em departamentos de polícia. A defesa não é mais patch. É comportamento, borda, endpoint e vigilância contínua. Na Tech86, nós operamos SOC 24/7 com threat hunting ativo exatamente para esse cenário: quando a infraestrutura confiada vira a arma, nós estamos olhando.