Sumário executivo
Em 2025, o Grupo Insikt expandiu significativamente o seu rastreamento de infraestrutura maliciosa, ampliando
cobertura em famílias adicionais de malware e categorias de ameaças que abrangem atividades cibercriminosas e APT. Essa expansão incluiu análises mais profundas de tipos de infraestrutura, integração aprimorada de fontes de dados, como Recorded Future Network Intelligence®, metodologias aprimoradas de detecção de ameaças, insights de infraestrutura de nível superior mais granulares, análise expandida de vitimologia e um novo foco nos chamados facilitadores de atividades de ameaças (TAEs). Embora muitos padrões identificados em 2024 persistissem, incluindo o domínio do Cobalt Strike entre as ferramentas de segurança ofensivas (OSTs), AsyncRAT e QuasarRAT liderando o cenário de trojan de acesso remoto (RAT), o uso generalizado de variantes de malware de código aberto ou crackeados e a prevalência contínua de malware Android dentro do ecossistema de ameaças móveis, o Insikt Group observou várias mudanças notáveis e tendências emergentes ao longo de 2025.
Por exemplo, embora o Cobalt Strike continuasse sendo o OST mais proeminente, sua parcela relativa de servidores de comando e controle (C2) detectados diminuiu à medida que a cobertura de detecção se expandia e as ferramentas concorrentes ganhavam força. Ferramentas como RedGuard, Ligolo e Supershell tiveram um crescimento significativo em uso ao longo de 2025. Após os esforços de interrupção da aplicação da lei visando LummaC2, Vidar e outros infostealers preencheram parcialmente a lacuna, refletindo a volatilidade contínua no ecossistema de infostealers. Flutuações semelhantes foram observadas no cenário de carregadores e droppers, onde novas famílias de malware surgiram consistentemente, incluindo CastleLoader, atribuído a GrayBravo. Além disso, o Grupo Insikt observou o uso sustentado e generalizado de sistemas de distribuição de tráfego (TDS), incluindo atividades de TAG-124, GrayCharlie e outros atores de ameaças.
Os defensores devem aproveitar os insights deste relatório para fortalecer os controles de segurança, priorizando a detecção e mitigação das famílias de malware e técnicas de infraestrutura mais prevalentes. Isso inclui o aprimoramento dos recursos de monitoramento de rede e a implantação de mecanismos de detecção relevantes, como regras YARA, Sigma e Snort. As organizações também devem investir no acompanhamento da evolução da dinâmica da infraestrutura maliciosa, na realização de simulações de ameaças para validar a sua postura defensiva e na manutenção da monitorização contínua do cenário mais amplo de ameaças. No que diz respeito aos serviços de infraestrutura legítimos (LIS), os defensores devem equilibrar cuidadosamente o bloqueio, a sinalização ou a permissão de serviços de alto risco com base na criticidade avaliada e na tolerância ao risco organizacional.
À medida que a infraestrutura maliciosa continua a evoluir juntamente com a melhoria das capacidades de deteção, o Grupo Insikt prevê que muitas tendências atuais persistirão em 2026. Em vez de mudanças dramáticas, a mudança será provavelmente impulsionada por inovação incremental, adaptação a medidas defensivas e reações a relatórios públicos e ações de aplicação da lei. Espera-se que os agentes de ameaças continuem a aproveitar ferramentas, serviços e redes de distribuição de conteúdo (CDNs) legítimos, como o Cloudflare, um padrão também fortemente observado entre vários grupos APT, para combinar atividades maliciosas com tráfego legítimo. Embora ainda não seja amplamente observada na camada de infraestrutura, o Grupo Insikt avalia que a inteligência artificial pode ser cada vez mais aproveitada para apoiar a evasão e a resiliência operacional. O ecossistema “como serviço” provavelmente continuará a se expandir em todas as categorias de malware, permitindo escalabilidade e reduzindo as barreiras de entrada para os agentes de ameaças. Embora a divulgação pública de informações e as sanções dirigidas a determinados TAE tenham desencadeado um maior escrutínio, espera-se que a lógica económica e operacional subjacente ao ecossistema permaneça
intacta, permitindo que os intervenientes estabelecidos continuem a operar. Ao mesmo tempo, o Grupo Insikt prevê ações cada vez mais assertivas de aplicação da lei internacional visando infraestruturas maliciosas, incluindo remoções coordenadas e outros esforços de perturbação.
Principais descobertas
- Os infostealers continuaram sendo o principal vetor de infecção em 2025, com as ofertas de malware como serviço (MaaS) dominando. Vidar superou os concorrentes, Lumma mostrou-se resiliente apesar da aplicação da lei e da pressão doxxing, e o ecossistema mais amplo permaneceu altamente volátil.
- O Cobalt Strike manteve um claro domínio nas detecções de OST (~50%), apesar do declínio da participação, enquanto o Metasploit e o Mythic mantiveram suas posições. RedGuard, Ligolo e Supershell expandiram-se notavelmente, e jQuery novamente liderou como o perfil C2 maleável mais prevalente em termos de detecções e alcance geográfico.
- O ecossistema de malware permaneceu ancorado em MaaS e ferramentas de código aberto em desktops e dispositivos móveis, com AsyncRAT e Quasar RAT liderando o cenário RAT, DcRAT e REMCOS RAT ganhando participação, e famílias como XWorm, SectopRAT e GOSAR entrando no nível superior, enquanto o Android dominou a atividade móvel (nove das dez principais famílias) em meio ao uso crescente de spyware mercenário.
- Droppers, carregadores e TDS permaneceram dinâmicos, mas resilientes em 2025, com alta rotatividade de carregadores após a Operação Endgame 2024, impulsionada pela expansão do Latrodectus e pela ascensão do MintsLoader e do CastleLoader da GrayBravo, juntamente com a atividade sustentada e generalizada de TDS ligada ao TAG-124, GrayCharlie e outros atores de ameaças.
- Por último, em 2025, o Grupo Insikt centrou-se na identificação de TAEs através da Lista de Densidade de Ameaças, destacando redes de alto risco, como a Virtualine Technologies, muitas vezes transitando através da aurologic GmbH, que sustentavam operações através do abuso de recursos do Registo Regional da Internet (RIR) e da rápida mudança de marca, apesar das sanções e da pressão da aplicação da lei.
Fundo
O Insikt Group identifica e monitora proativamente a infraestrutura vinculada a centenas de famílias de malware, agentes de ameaças e artefatos relacionados, incluindo kits de phishing, scanners e redes de retransmissão. Por meio da validação diária automatizada usando métodos proprietários, o Insikt Group oferece representação precisa de riscos, permitindo que os clientes do Recorded Future fortaleçam suas capacidades de detecção e defesa.
Com base nos relatórios anuais de infraestrutura maliciosa do Grupo Insikt de 2022, 2023e 2024o relatório deste ano oferece uma visão geral concisa e baseada em dados da infraestrutura maliciosa observada ao longo de 2025. Embora as porcentagens apresentadas ao longo do relatório tenham como objetivo fornecer informações sobre tendências e o estado da infraestrutura maliciosa em 2025, é importante observar que o Grupo Insikt adiciona continuamente novas detecções para famílias existentes e emergentes, o que torna as comparações ano após ano imperfeitas.
Este ano, o foco continua a ser a sinergia entre a detecção passiva de infra-estruturas,
insights de infraestrutura de nível superior alimentados por Inteligência de rede futura registradae vítima
identificação. Também se expande para examinar tendências em todo o ecossistema de TAEs que sustentam as ameaças cibernéticas, incluindo como as sanções contra entidades selecionadas remodelaram esse cenário. No geral, este relatório destina-se a qualquer pessoa interessada em infraestruturas maliciosas, fornecendo uma visão geral de alto nível do seu estado atual, juntamente com resumos das principais conclusões para apoiar a tomada de decisões informadas e oferecer uma perspetiva ampla sobre este cenário em rápida evolução.
Reconhecendo o desafio de categorizar tipos de malware de forma mutuamente exclusiva devido às suas funcionalidades sobrepostas, este relatório estabelece um conjunto de categorias de malware para facilitar a análise, conforme detalhado no Apêndice A, com breves definições para cada uma. Notavelmente, certas categorias de malware, como criptografadores, foram excluídas intencionalmente porque normalmente não possuem artefatos de rede.
Além de examinar a infraestrutura maliciosa através das lentes das categorias de malware, o Insikt Group também a monitora por tipo, atribuindo a cada uma uma pontuação de risco distinta na Recorded Future Intelligence Operations Platform®. Essa diferenciação reflete vários níveis de gravidade. Por exemplo, o tráfego de rede de ou para um servidor C2 numa rede corporativa pode indicar um risco mais elevado em comparação com a presença de um painel de gestão, uma vez que o primeiro normalmente implica atividade maliciosa ativa. Os tipos de infraestrutura definidos pelo Grupo Insikt estão detalhados no Apêndice B.
