Pesquisadores de cibersegurança identificaram uma nova e sofisticada campanha de espionagem digital ligada a hackers chineses, que utilizam inteligência artificial para aprimorar ataques direcionados. O grupo, identificado como UTA0388, é o responsável pelo desenvolvimento do GOVERSHELL, um malware avançado escrito em linguagem Go e usado para infiltrar redes corporativas e governamentais em diferentes países.
A campanha teve início com e-mails de phishing personalizados, criados com apoio de ferramentas de IA generativa como o ChatGPT. As mensagens imitavam convites de universidades, instituições de pesquisa e agências internacionais, induzindo as vítimas a baixar arquivos compactados (ZIP ou RAR) hospedados em serviços legítimos como OneDrive, Netlify e Sync. Esses arquivos continham o malware GOVERSHELL. Após ser executado, o GOVERSHELL utiliza a técnica de DLL side-loading, explorando bibliotecas legítimas do Windows para executar código malicioso de forma silenciosa. O malware age como um backdoor de espionagem, capaz de coletar informações, executar comandos remotos e estabelecer comunicação constante com servidores controlados pelos invasores.
O GOVERSHELL é uma evolução do malware HealthKick, identificado no início de 2025. Desde então, os pesquisadores descobriram cinco variantes do código, cada uma mais sofisticada. A versão mais recente, chamada Beacon, ajusta automaticamente o intervalo de comunicação com o servidor e imita o tráfego de aplicativos legítimos, tornando a detecção muito mais difícil. Além das melhorias técnicas, o uso de IA generativa marca um novo patamar de automação nos ataques. De acordo com os analistas, o grupo criou personas falsas e mensagens multilíngues com auxílio do ChatGPT, gerando comunicações em inglês, chinês e japonês com alto grau de realismo. A OpenAI confirmou que contas fraudulentas foram suspensas, mas reconheceu que os invasores buscaram automatizar todo o processo de phishing.
