Documento judicial revela: FBI usou Windows Device ID para rastrear suposto operador do Scattered Spider

Denúncia federal americana desvela como o identificador persistente da Microsoft ligou um alegado membro do Scattered Spider à invasão de uma joalheria em maio de 2025 e a contas pessoais do suspeito Peter Stokes.

Um documento judicial recém-desvelado pelo Departamento de Justiça dos EUA revelou que o FBI usou o Windows Device ID — o identificador persistente que a Microsoft atribui a cada login — para conectar um suposto operador do Scattered Spider a uma invasão contra uma joalheria de luxo em maio de 2025. O acusado, Peter Stokes, de 19 anos, cidadão americano-estoniano conhecido como “Bouquet”, foi extraditado da Finlândia e responde por conspiração, intrusão computacional e fraude, com prejuízos iniciais estimados em milhões de dólares.

O que aconteceu

Entre 12 e 15 de maio de 2025, atacantes ligaram para o help desk de TI da varejista usando números do Google Voice, fingiram ser funcionários bloqueados e convenceram a equipe de suporte a resetar senhas e desvincular dispositivos móveis associados à autenticação multifator (MFA). Em poucas horas, os invasores já controlavam três contas — duas delas de administradores de TI — e haviam plantado o túnel ngrok junto com ferramentas de acesso remoto para garantir persistência dentro da rede corporativa.

A partir do controle privilegiado, o grupo usou ferramentas de roubo de credenciais para escalar até obter privilégios de administrador de domínio e exfiltrou grandes volumes de dados de funcionários e clientes. O padrão é o mesmo que o Scattered Spider — também catalogado como UNC3944, Octo Tempest e Muddled Libra — vem executando desde 2023 contra alvos de alto perfil como MGM Resorts, Caesars Entertainment, seguradoras norte-americanas e as varejistas britânicas Marks & Spencer, Co-op e Harrods em 2025.

O que torna este caso incomum não é o vetor de entrada, já conhecido, mas a rota probatória. Segundo a denúncia, foi o telemetria da própria Microsoft — mais especificamente o Windows Device ID — que criou o fio condutor entre a rede da vítima e as contas pessoais do suspeito.

Como o Windows Device ID entregou o suspeito

Todo login em uma máquina Windows moderna gera um identificador persistente que a Microsoft mantém no back-end para fins de detecção de fraude e correlação de sessões. Esse Device ID não é um cookie de navegador — ele sobrevive a limpezas de sessão, trocas de VPN e uso de contas descartáveis, porque está atrelado ao hardware/instalação do sistema.

De acordo com a denúncia, o mesmo Device ID que aparece nos logins fraudulentos feitos contra a joalheria em maio de 2025 aparece também em logins de contas pessoais Microsoft supostamente pertencentes a Stokes — inclusive uma cadastrada com o nome real dele. A partir daí, o FBI conseguiu conectar identidades online (o handle “Bouquet”), infraestrutura, cronologia e movimentação financeira.

“O identificador seguiu o atacante por contas e sessões dentro do ambiente da vítima, e a Microsoft foi capaz de correlacionar o mesmo Device ID com logins em contas pessoais alegadamente pertencentes a Stokes.” — trecho da denúncia federal apresentada em Chicago.

Quem é afetado

  • Operadores do Scattered Spider e clusters afiliados — o precedente probatório muda o cálculo de risco de anonimato do grupo.
  • Equipes de help desk e TI corporativa — o vetor de engenharia social contra o suporte continua sendo a porta de entrada preferida.
  • Times de resposta a incidentes — passam a ter uma nova fonte de correlação forense para pedir à Microsoft via processo legal.
  • Usuários de contas pessoais Microsoft (Outlook, Xbox, OneDrive) — o mesmo mecanismo que ajuda a rastrear criminosos também aumenta a vinculação de identidade entre trabalho e vida pessoal.

Análise

Este caso é o primeiro na literatura pública em que o Windows Device ID aparece nominalmente como pivô investigativo em uma acusação federal americana contra o Scattered Spider. A implicação é significativa: o grupo construiu boa parte de sua reputação sobre a premissa de que atores jovens, operando de casa e usando VPN comercial, ficariam invisíveis. O que a denúncia mostra é que a mesma pilha de identidade que sustenta o ecossistema Microsoft — Azure AD, Entra ID, contas pessoais, telemetria de endpoint — cria correlações que sobrevivem às camuflagens tradicionais.

É difícil não traçar um paralelo com a onda de detenções recentes envolvendo o mesmo ecossistema de atacantes. Em 2024 e 2025, autoridades britânicas, espanholas e norte-americanas prenderam integrantes suspeitos do Scattered Spider/Octo Tempest usando combinações de reconhecimento facial, coleta em fóruns Telegram/Discord e cooperação de plataformas. O uso explícito do Device ID no caso Stokes sugere que a Microsoft passou a operar de forma mais próxima às agências, algo que pode acelerar novas detenções entre operadores ainda ativos.

Para as vítimas, no entanto, a lição é mais dura: mesmo com MFA obrigatório, uma equipe de help desk mal treinada continua sendo o elo mais fraco. O ataque não usou zero-day, não usou malware exótico e não precisou quebrar a criptografia — usou telefone, engano e paciência. É o padrão do Scattered Spider desde o dia zero, e continua funcionando.

Recomendações práticas

  • Endureça o processo de reset no help desk: exija verificação em vídeo, callback ao número corporativo cadastrado, ou aprovação por gestor. Nunca aceite Google Voice ou número novo como canal legítimo.
  • Force reautenticação de MFA sensível fora do help desk: alterações de fator de MFA devem passar por auto-serviço com verificação biométrica ou aprovação assíncrona, não por operador humano ao telefone.
  • Monitore ngrok, Cloudflared, AnyDesk, ScreenConnect e outros túneis/RMM — o Scattered Spider adora essas ferramentas porque contornam controles de saída.
  • Ative alertas de sign-in em contas Microsoft com risk detection do Entra ID e revise correlações de Device ID entre contas administrativas e não administrativas.
  • Segmente contas administrativas em máquinas dedicadas (PAW/Tier 0), sem acesso a e-mail, navegação geral ou redes sociais.
  • Faça exercícios de tabletop com o cenário “help desk sob engano” pelo menos uma vez por trimestre.

Fonte: The Hacker News