Hackers mantiveram acesso por cerca de cinco meses à caixa de e-mail Outlook de um executivo sênior de uma grande bolsa de valores global, em uma operação tratada como provável espionagem cibernética.
A atividade foi investigada pelas equipes de Threat Hunting da Symantec e da Carbon Black.
O primeiro sinal de atividade maliciosa ocorreu em 10 de outubro de 2025. Naquele momento, os invasores já executavam dois binários com privilégios SYSTEM, o nível mais alto de permissão no Windows, usando nomes que simulavam atualizadores da Adobe e do OneDrive.
A operação ganhou força em 12 de novembro, quando os atacantes obtiveram um token de API do Dropbox, passaram a enviar dados com curl e implantaram uma ferramenta para copiar caixas de correio do Outlook.
A primeira coleta incluiu mensagens desde agosto de 2025, depois, novas extrações ocorreram a cada duas a quatro semanas. Para reduzir suspeitas, os invasores copiavam apenas intervalos recentes de mensagens e usavam Dropbox e OneDrive Personal na exfiltração.
O caso não envolve uma nova CVE, mas uma intrusão prolongada contra uma conta de alto valor. Em uma bolsa de valores, a caixa de e-mail de um executivo pode conter negociações, calendários, contatos, dados de listagem e informações capazes de influenciar mercados.
