FBI e CISA alertam: hackers russos agora roubam a Backup Recovery Key do Signal para tomar contas

O FBI e a CISA atualizaram, em 26 de junho de 2026, o alerta PSA I-062626-PSA contra operadores ligados aos serviços de inteligência russos (FSB e GRU) que agora induzem alvos a entregar a Signal Backup Recovery Key — a chave que abre todo o histórico criptografado de mensagens e permite tomar conta de uma conta de Signal de forma persistente. As campanhas, atribuídas aos clusters UNC5792 e UNC4221, miram autoridades, militares, jornalistas e funcionários ucranianos, e o Departamento de Estado dos EUA oferece até US$ 10 milhões por informações sobre o UNC5792.

O que aconteceu

O alerta conjunto do FBI e da CISA é uma atualização do aviso de março que já havia descrito ataques de engenharia social russos contra Signal e WhatsApp. A novidade publicada nesta semana é uma tática específica para o Signal: em vez de pedir códigos de SMS ou usar links falsos de convite para grupos, os atacantes convencem a vítima a ativar o backup do aplicativo, abrir a Recovery Key (chave de 64 caracteres) e colar essa string em um chat controlado pelo invasor.

Com a chave em mãos, o ator restaura o backup criptografado em um dispositivo próprio, lê todo o histórico de conversas privadas e em grupo e assume a conta. O detalhe que muda a calibragem do risco: a Recovery Key continua valendo mesmo depois que a vítima cria uma nova conta com o mesmo número de telefone — ou seja, recriar a conta não invalida a chave roubada. Só gerar uma nova chave em Configurações interrompe novos downloads de backup.

O alerta nomeia publicamente, pela primeira vez, dois clusters: UNC5792 e UNC4221. O FBI atribui a atividade a múltiplas unidades dos serviços de inteligência russos (RIS), incluindo oficiais do FSB embarcados na Guarda de Fronteira e operadores ligados a estruturas militares. O Departamento de Estado anunciou, em paralelo, recompensa de até US$ 10 milhões pelo programa Rewards for Justice por informações sobre o UNC5792.

Como o ataque funciona

O vetor é engenharia social pura. A mensagem de phishing imita o “Signal Support” e usa dois pretextos principais identificados no alerta: um falso rollout obrigatório de autenticação em dois fatores e uma falsa rotina de recuperação de mensagens supostamente em risco de perda. Nas duas variantes, o passo-a-passo orienta a vítima a ativar Configurações → Chats → Backups, copiar a Recovery Key e “confirmar” colando no chat de suporte falso.

Vale a distinção técnica reiterada pelo FBI e pela CISA: nada disso quebra a criptografia ponta-a-ponta do Signal. O alvo não é o protocolo, é a conta — e a pessoa que opera a conta. O Google Threat Intelligence Group já havia documentado, no início de 2025, o UNC5792 abusando do recurso de “linked devices” do Signal e replicando a técnica contra WhatsApp e Telegram.

“A criptografia se mantém. A conta é o ponto fraco, e a pessoa que a controla é o alvo.” — Advisory PSA I-062626-PSA, FBI/CISA

Quem está na mira

O escopo do alvo é deliberado e de alto valor de inteligência. Segundo o aviso, a campanha mais ampla já comprometeu milhares de contas no mundo todo desde 2024:

• Autoridades governamentais dos EUA e de países aliados, em exercício e ex-ocupantes de cargos sensíveis.
• Militares e oficiais ligados à OTAN.
• Lideranças políticas, jornalistas e figuras públicas cobrindo Europa Oriental.
• Funcionários civis e militares ucranianos, alvo recorrente das operações russas desde 2022.
• Pesquisadores de políticas públicas, think tanks e ONGs que tocam temas de segurança, sanções e direitos humanos.

O alerta também menciona sobreposição com avisos anteriores das agências de inteligência holandesas AIVD e MIVD, do BfV e do BSI alemães e da ANSSI francesa — um indicativo de que a operação é multi-país e relativamente coordenada.

Análise

O movimento dos operadores russos de migrar da captura de códigos OTP para a captura da Recovery Key é um deslocamento revelador. Os códigos de uso único expiram em segundos; a chave de backup é um master key persistente que sobrevive a redefinições de conta no mesmo número. É a diferença entre roubar uma cópia da chave da casa e roubar a escritura do imóvel.

O padrão também confirma uma tendência mais ampla observada desde 2024 nos relatórios da Mandiant, do Microsoft Threat Intelligence e da própria CISA: atacantes estatais estão cada vez menos interessados em quebrar criptografia ou explorar zero-days — o trabalho está sendo feito no último metro do controle da conta, com pretextos de “suporte”, “migração” ou “atualização obrigatória”. É o mesmo manual aplicado em incidentes recentes envolvendo Scattered Spider contra suporte de TI corporativo e em campanhas de SIM-swap. Muda o ator, muda o app, não muda a tática.

Para o ecossistema brasileiro, há dois alertas indiretos. Primeiro: o Signal é usado por jornalistas, advogados e fontes em invest igações sensíveis no país e a mesma técnica se aplica fora do contexto russo — basta um operador local recriar o pretexto. Segundo: a possibilidade de uma chave de backup sobreviver à recriação da conta é um detalhe que muda a resposta a incidentes de qualquer organização que aceitou Signal como canal “seguro” sem revisar como o backup é configurado.

Recomendações práticas

• Gere uma nova Recovery Key em Configurações → Chats → Backups → Ver chave de backup → Gerar nova chave. Isso invalida a chave anterior para novos downloads de backup.
• Audite dispositivos vinculados em Configurações → Dispositivos vinculados. Remova qualquer entrada não reconhecida.
• Desconfie de qualquer “Signal Support” que chegue por chat, e-mail ou SMS. O Signal não pede Recovery Key — nenhum serviço legítimo pede.
• Habilite o PIN de registro (Registration Lock) para dificultar a reativação do número em outro dispositivo.
• Para perfis de alto risco (jornalistas, advogados, autoridades), considere desativar o backup local se ele não for estritamente necessário, reduzindo o que uma chave roubada exporia.
• Treine equipes a tratar pedidos de “cole esta chave aqui para confirmar” como sinal vermelho universal, não só em Signal — o mesmo padrão aparece em Microsoft 365, Google Workspace e bancos.
• Para equipes de SOC, monitore alertas internos de mensagens incomuns vindas de contatos antigos com solicitações técnicas atipicas — o ataque mais perigoso parte de uma conta já comprometida no círculo de confiança do alvo.

Fonte: The Hacker News