Nova variante do Millenium RAT usa Telegram para comandar ataque e já comprometeu mais de 62 mil máquinas Windows
Uma nova geração do trojan de acesso remoto Millenium RAT está circulando em larga escala e já infectou 62.289 dispositivos Windows em pelo menos 160 países, de acordo com análise da empresa de segurança Group-IB. Só no primeiro trimestre de 2026, foram identificados 39.730 endpoints comprometidos, o que mostra uma aceleração preocupante da campanha.
Os pesquisadores associam essa onda de ataques a um grupo que classificam como “Y2K Operators” e apontam o desenvolvedor principal do malware, conhecido no submundo do cibercrime pelo pseudônimo “ShinyEnigma”. O Millenium RAT, em sua versão 4.*, não é distribuído apenas em círculos fechados: ele é oferecido no modelo malware-as-a-service (MaaS), com valores considerados baixos, permitindo que mesmo criminosos com pouca experiência técnica tenham acesso a uma ferramenta poderosa e pronta para uso.
De .NET para C++: mudança que dificulta detecção
Ao contrário das versões anteriores, desenvolvidas em .NET, o Millenium RAT 4 foi completamente reescrito em C++ nativo. Essa alteração elimina a dependência do framework .NET, muda profundamente a arquitetura do código e tende a dificultar a análise estática e a detecção por alguns tipos de soluções de segurança que se especializaram em identificar ameaças baseadas em .NET.
Mesmo com a reformulação técnica, os operadores mantiveram um componente-chave: o uso da API de bots do Telegram para o canal de comando e controle (C2). Em vez de precisarem manter servidores próprios, que podem ser derrubados ou rastreados, eles utilizam a infraestrutura do Telegram para enviar instruções, receber dados roubados e controlar as máquinas comprometidas. Essa abordagem reduz custos, aumenta a disponibilidade do C2 e se camufla em meio ao tráfego legítimo do aplicativo.
O que o Millenium RAT é capaz de fazer
Depois de instalado no Windows, o Millenium RAT atua como uma ferramenta de controle remoto completa. Entre as principais funções observadas pelos analistas, estão:
– Roubo de dados armazenados em navegadores (cookies, senhas salvas, histórico, sessões de login);
– Coleta de informações detalhadas do sistema (hardware, software instalado, usuário, domínios, rede);
– Keylogging, ou seja, registro de todas as teclas digitadas;
– Captura de tela em tempo real ou periódica;
– Gravação de áudio pelo microfone;
– Extração de dados de aplicativos como Telegram e Discord;
– Download e execução de cargas adicionais (outros malwares, ferramentas, scripts);
– Execução de comandos arbitrários do Windows ou scripts PowerShell enviados pelos operadores.
Para se manter ativo após reinicializações, o malware se copia para o diretório %APPDATA% do usuário e cria uma chave de execução automática no Registro do Windows. Assim, o RAT volta a ser carregado sempre que o sistema é iniciado, sem depender da interação da vítima.
Uso de recursos legítimos do Windows em vez de exploits sofisticados
A Group-IB destaca que, apesar do leque avançado de funcionalidades, o Millenium RAT não recorre a exploits complexos ou vulnerabilidades zero-day para obter acesso. Em vez disso, tira proveito de mecanismos comuns da própria API do Windows.
Quando precisa de privilégios elevados, o malware exibe janelas legítimas de Controle de Conta de Usuário (UAC), pedindo autorização para executar ações administrativas. A grande diferença está no contexto: o usuário tem a impressão de estar lidando com um processo regular, quando na verdade está concedendo permissão total ao atacante.
Esse uso de componentes legítimos torna a detecção mais desafiadora, principalmente em ambientes onde o usuário está habituado a clicar em “Sim” sem ler atentamente o conteúdo dos avisos do sistema.
Como o Millenium RAT está se espalhando
A distribuição do Millenium RAT 4 depende fortemente de engenharia social. Os operadores montam campanhas que exploram o interesse por:
– Softwares crackeados e ativadores;
– Utilitários ligados a criptomoedas (carteiras, mineradores, “otimizadores”);
– Kits e ferramentas para hacking;
– Ferramentas de OSINT (coleta de informações abertas);
– Builders de exploits e construtores de malware;
– Cheats e modificadores relacionados ao jogo Roblox.
Em alguns casos, os criminosos chegam a adulterar (trojanizar) ferramentas de security offensive e construtores de malware populares, visando infectar até mesmo outros cibercriminosos que tentam baixar esses recursos. Ou seja, quem busca cometer fraudes ou desenvolver seus próprios malwares acaba se tornando vítima.
Golpe com atalhos maliciosos e PDFs isca
Em uma campanha específica analisada pela Group-IB, os invasores utilizaram um artifício especialmente sorrateiro: atalhos do Windows disfarçados de documentos PDF.
O usuário recebia ou baixava o suposto “arquivo PDF”, que na verdade era um atalho (.lnk). Ao clicar, o atalho chamava o PowerShell, que por sua vez fazia o download de dois componentes:
1. Um PDF legítimo, que era aberto normalmente na tela da vítima, passando a impressão de que tudo correra bem;
2. A carga do Millenium RAT, executada silenciosamente em segundo plano.
Enquanto a pessoa lia o PDF inofensivo, o computador já estava sendo comprometido e se conectando ao bot do Telegram controlado pelos criminosos.
Para se disfarçar ainda mais nos sistemas infectados, o malware adota nomes de arquivos parecidos com componentes do Windows ou ferramentas de segurança, como:
– svchost.exe
– MsEdgeUpdate.exe
– Microsoft Antivirus.exe
– setup.exe
Quando o usuário ou administrador verifica o Gerenciador de Tarefas rapidamente, é comum supor que esses processos fazem parte do sistema operacional ou de softwares confiáveis.
O que torna esse tipo de RAT tão perigoso
Um trojan de acesso remoto como o Millenium RAT não é apenas um ladrão de dados pontual; ele transforma a máquina comprometida em um ponto de presença permanente do atacante. Com acesso contínuo, os criminosos podem:
– Mapear a rede da vítima e se movimentar lateralmente para outros dispositivos;
– Roubar credenciais corporativas e acessar VPNs, e-mails e sistemas internos;
– Implantar outros tipos de malware, como ransomware ou ladrões de informações bancárias;
– Vender o acesso ao dispositivo infectado em mercados clandestinos;
– Espionar atividades pessoais e profissionais, inclusive por áudio e imagem.
O uso de Telegram como C2 adiciona outra camada de risco, pois o tráfego tende a se misturar facilmente a conexões legítimas, dificultando o bloqueio em redes que não contam com inspeção de tráfego mais profunda.
Como reduzir o risco de infecção em computadores pessoais
Para usuários domésticos e pequenos escritórios, algumas medidas práticas podem reduzir drasticamente a chance de cair em campanhas que usam o Millenium RAT:
– Evitar totalmente o download de softwares piratas, cracks, keygens e “ativadores”;
– Desconfiar de “ferramentas milagrosas” para criptomoedas, cheats de jogos e programas de hacking;
– Manter o Windows e todos os aplicativos sempre atualizados com os patches mais recentes;
– Utilizar um antivírus confiável, com proteção em tempo real e verificação de downloads;
– Ler com atenção qualquer janela do Controle de Conta de Usuário (UAC) e negar permissões quando não houver clareza sobre o que está sendo executado;
– Verificar periodicamente os programas que iniciam junto com o Windows e remover entradas desconhecidas;
– Observar processos suspeitos no Gerenciador de Tarefas, especialmente aqueles com nomes de sistema executados a partir de pastas de usuário ou diretórios temporários.
Outra prática importante é não executar arquivos recebidos por e-mail, mensagens ou redes sociais sem verificar a extensão real. Atalhos (.lnk), scripts (.ps1, .vbs), executáveis (.exe) e arquivos compactados (.zip, .rar) exigem cuidado redobrado.
Recomendações específicas para empresas e equipes de TI
Em ambientes corporativos, o impacto de um RAT como o Millenium pode ser devastador, comprometendo dados sensíveis, interrompendo operações e abrindo as portas para ataques de ransomware. Além das medidas básicas, as organizações devem:
– Restringir o uso de PowerShell e outras ferramentas de administração a contas e estações específicas, com logs e monitoramento;
– Implementar políticas rígidas de controle de aplicações, permitindo apenas softwares autorizados;
– Utilizar soluções de EDR ou XDR para identificar comportamentos anômalos, como processos mascarados com nomes de sistema executando a partir de diretórios incomuns;
– Habilitar autenticação multifator (MFA) em todos os acessos críticos, reduzindo o valor das credenciais roubadas;
– Realizar campanhas regulares de conscientização sobre engenharia social, com foco em downloads de software e anexos suspeitos;
– Monitorar alterações no Registro relacionadas a itens de inicialização automática e agendamentos de tarefas.
A resposta a incidentes também precisa estar estruturada: planos claros de isolamento de máquinas, coleta de evidências e recuperação ajudam a reduzir o tempo de exposição ao atacante.
Como identificar sinais de possível comprometimento
Nem sempre é fácil perceber que um RAT está em funcionamento, já que operadores costumam limitar o consumo de recursos para não chamar atenção. Ainda assim, alguns indícios podem sugerir que algo está errado:
– Uso elevado de CPU ou rede sem explicação aparente;
– Janelas de UAC aparecendo em momentos estranhos, sem que o usuário tenha solicitado alguma ação administrativa;
– Mudanças inesperadas em configurações do sistema;
– Programas desconhecidos na inicialização;
– Antivírus desativado ou com configurações alteradas sem autorização;
– Aparição de arquivos e processos com nomes parecidos com os do Windows em locais incomuns (pastas de usuário, Downloads, Temp).
Caso haja suspeita, é recomendável desligar a máquina da rede, realizar uma varredura completa com ferramentas confiáveis e, em ambiente corporativo, envolver imediatamente a equipe de segurança ou provedores especializados.
Boas práticas gerais para fortalecer a postura de segurança
O crescimento de campanhas como as do Millenium RAT 4 mostra que o cibercrime está profissionalizado, operando com modelos de negócio semelhantes aos de empresas legítimas. Para o usuário final e para as organizações, isso significa que a prevenção precisa ser contínua, e não pontual.
Além das medidas técnicas, vale reforçar alguns hábitos:
– Verificar sempre a origem de qualquer software ou arquivo antes de executar;
– Manter backups periódicos dos dados mais importantes, em mídias ou serviços desconectados do sistema principal;
– Evitar o uso de contas com privilégios administrativos para atividades do dia a dia;
– Revisar regularmente as configurações de privacidade e segurança do sistema operacional e dos principais aplicativos.
Enquanto ferramentas como o Millenium RAT 4 continuarem acessíveis como serviço, com ampla base de usuários mal-intencionados, a linha de defesa dependerá principalmente da combinação entre tecnologia de proteção, processos bem definidos e um comportamento mais crítico por parte de quem usa o computador.