Este artigo apresenta os facilitadores de atividades de ameaças (TAEs), os provedores de infraestrutura e redes que sustentam as ameaças cibernéticas modernas em atividades criminosas e patrocinadas pelo Estado. Estas entidades sustentam as operações permitindo infraestruturas resilientes e de alto risco que persistem apesar de sanções, remoções e exposição pública.
Por trás de cada demanda de ransomware, botnet ou grupo de atividades de ameaças está um servidor localizado em um data center. Embora a maioria dos provedores de hospedagem legítimos expulsem os atores da ameaça depois de identificados, uma classe específica de provedores faz o oposto. Futuro Registrado® chama esses provedores de facilitadores de atividades de ameaças (TAEs).
O que é um ativador de atividades de ameaças?
Figura 1: Visão geral dos padrões, ecossistema e impacto dos facilitadores de atividades de ameaças
Um facilitador de atividades de ameaças (TAE) é um indivíduo, organização ou provedor de serviços que apoia atividades cibernéticas maliciosas, fornecendo infraestrutura ou serviços aproveitados por atores de ameaças. Mais comumente, isso inclui fornecedores que não possuem uma loja física ou virtual formal, conduzem negócios apenas por e-mail ou plataformas de mensagens e não aplicam políticas de conhecimento do seu cliente (KYC). Também inclui fornecedores de alojamento que respondem seletivamente a denúncias de abuso ou inquéritos policiais para manter uma negação plausível, bem como fornecedores mais tradicionais autoproclamados “à prova de balas” que ignoram abertamente a supervisão ou anunciam a não cooperação.
As redes TAE servem como espinha dorsal para grupos de ransomware, campanhas de infostealer, botnets e até mesmo operações de agentes de ameaças patrocinadas pelo Estado. O que distingue as redes TAE é a concentração sustentada de infra-estruturas maliciosas nas suas redes.
Como funcionam os TAEs
Os TAEs são mestres na ofuscação e são altamente resilientes, escondendo-se atrás de camadas de empresas iscas para fugir à responsabilização. Eles usam várias táticas principais:
- Jogos Corporativos Shell: Estabelecem empresas de fachada em múltiplas jurisdições para criar distância legal entre a infraestrutura e os operadores.
- Controle Estratégico de Recursos: Eles geralmente operam como registros locais da Internet (LIRs). Isto lhes dá controle direto sobre os recursos IP e sistemas autônomos (ASNs), permitindo-lhes manipular os recursos da rede à vontade.
- Rebranding rápido: Quando uma rede fica muito “quente” devido ao escrutínio, os TAEs transferem rapidamente os prefixos de endereços IP para uma entidade recém-registrada e de aparência limpa.
Identificação de redes TAE de alto risco
A Recorded Future identifica ativamente redes TAE de alto risco por meio de sua Lista de Densidade de Ameaças de Rede. Essas redes são classificadas por sua Pontuação de Densidade de Ameaças, calculada a partir da concentração de atividades maliciosas validadas em relação ao número total de prefixos de endereços IP que uma rede anuncia.
Esta abordagem elimina o ruído para expor rapidamente a infraestrutura que está desproporcionalmente associada a atividades de ameaça, uma característica central dos TAEs, permitindo que os defensores da rede priorizem a infraestrutura com maior probabilidade de representar um risco material.
Figura 2: Redes TAE suspeitas ou confirmadas de alto risco em 2025, classificadas pela Pontuação de Densidade de Ameaça
Do insight à ação
O rastreamento de redes TAE permite que as equipes de segurança passem da reação a ameaças individuais para o gerenciamento proativo de riscos de infraestrutura. Na prática, isto significa aplicar a inteligência TAE em três áreas principais: prevenção, detecção e exposição.
Operacionalizar a Inteligência TAE
Figura 3: Três etapas para operacionalizar a inteligência TAE
Os TAEs são persistentes e estão em constante evolução, adaptando-se rapidamente em resposta a sanções, ações de aplicação e exposição. Embora as suas identidades possam mudar, os seus padrões de infraestrutura subjacentes permanecem frequentemente consistentes.
Em abril de 2025, um TAE rastreado pela Recorded Future, Virtualine Technologies, transferiu seus recursos IPv4 para uma rede recém-registrada que se fazia passar fraudulentamente por uma empresa de software alemã legítima, metaspinner net GmbH. Como os padrões históricos de infraestrutura desse provedor já estavam sendo rastreados, a rede recém-criada foi imediatamente identificada como uma fachada. Em poucas semanas, esta rede tornou-se um centro de distribuição principal para famílias de malware como Latrodectus e AsyncRAT. Quando a operação foi finalmente exposta, a Virtualine Technologies simplesmente dinamizou a infraestrutura para uma nova identidade dentro de um de seus sistemas autônomos existentes para manter suas operações.
Figura 4: Atividade maliciosa validada associada à Virtualine Technologies em 2025
Este caso sublinha a realidade das redes TAE: embora as identidades, os registos de propriedade e as frentes corporativas possam mudar, a infra-estrutura subjacente e o risco associado persistem, tornando o acompanhamento contínuo essencial para identificar e priorizar as redes que impulsionarão futuras actividades de ameaças, como demonstrado pela Virtualine que posteriormente emergiu como a rede TAE de maior risco em 2025.
O estudo de caso das Indústrias Stark
Em maio de 2025, a União Europeia sancionou o provedor de hospedagem registrado no Reino Unido Stark Industries Solutions e seus executivos por permitirem operações cibernéticas patrocinadas pelo Estado russo. No entanto, a fiscalização não interrompeu as operações das Indústrias Stark. Nas semanas que antecederam o anúncio das sanções, as Indústrias Stark começaram a transferir recursos de propriedade intelectual, modificar registros RIPE e transferir infraestrutura para entidades afiliadas.
Figura 5: Cronograma de eventos relacionados às Indústrias Stark em 2025
Apesar das sanções, a infra-estrutura subjacente, as relações de roteamento e os padrões operacionais permaneceram rastreáveis nestas novas frentes. A monitorização contínua dos ecossistemas TAE permite que os defensores detectem estes pivôs quase em tempo real, revelando a continuidade sob as reformulações de marcas corporativas e reestruturações legais. Este caso sublinha uma realidade mais ampla: as sanções podem alterar nomes e registos de propriedade, mas sem visibilidade ao nível da infraestrutura, as redes facilitadoras por detrás de atividades maliciosas persistem frequentemente.
O que isso significa para os líderes de segurança
Os TAE representam um desafio constante. Embora campanhas individuais e agentes de ameaças possam ir e vir, a infraestrutura que os apoia permanece adaptável e deliberadamente resiliente.
Para os líderes de segurança, isto requer uma mudança adicional, de reagir apenas a indicadores individuais para compreender e priorizar a infraestrutura que permite atividades de ameaças em escala. Ao identificar e rastrear redes de alto risco, as organizações podem reduzir o ruído investigativo, concentrar recursos nas ameaças mais impactantes e tomar medidas proativas para limitar a exposição antes que os ataques se materializem.
Em última análise, abordar os TAE não se trata apenas de detecção; trata-se também de perturbar as condições que permitem a operação das ameaças cibernéticas modernas.
Perguntas que você deveria fazer
- Quanto da sua rede se comunica com infraestrutura de alto risco?
- Você está priorizando alertas que envolvem redes de alto risco?
- A inteligência de risco TAE ou ASN está integrada em seus fluxos de trabalho de detecção e triagem para garantir que a atividade de maior risco seja abordada primeiro?
- Algum de seus fornecedores terceirizados depende de infraestrutura vinculada ao TAE?
- Você tem exposição oculta às redes TAE?
- Seus controles estão se ajustando dinamicamente ao risco da infraestrutura?
- Você pode restringir ou desafiar proativamente o tráfego de e para redes de alto risco?
