Um documento judicial recém-desvelado pelo Departamento de Justiça dos EUA revelou que o FBI usou o Windows Device ID — o identificador persistente que a Microsoft atribui a cada login — para conectar um suposto operador do Scattered Spider a uma invasão contra uma joalheria de luxo em maio de 2025. O acusado, Peter Stokes, de 19 anos, cidadão americano-estoniano conhecido como “Bouquet”, foi extraditado da Finlândia e responde por conspiração, intrusão computacional e fraude, com prejuízos iniciais estimados em milhões de dólares.
Entre 12 e 15 de maio de 2025, atacantes ligaram para o help desk de TI da varejista usando números do Google Voice, fingiram ser funcionários bloqueados e convenceram a equipe de suporte a resetar senhas e desvincular dispositivos móveis associados à autenticação multifator (MFA). Em poucas horas, os invasores já controlavam três contas — duas delas de administradores de TI — e haviam plantado o túnel ngrok junto com ferramentas de acesso remoto para garantir persistência dentro da rede corporativa.
A partir do controle privilegiado, o grupo usou ferramentas de roubo de credenciais para escalar até obter privilégios de administrador de domínio e exfiltrou grandes volumes de dados de funcionários e clientes. O padrão é o mesmo que o Scattered Spider — também catalogado como UNC3944, Octo Tempest e Muddled Libra — vem executando desde 2023 contra alvos de alto perfil como MGM Resorts, Caesars Entertainment, seguradoras norte-americanas e as varejistas britânicas Marks & Spencer, Co-op e Harrods em 2025.
O que torna este caso incomum não é o vetor de entrada, já conhecido, mas a rota probatória. Segundo a denúncia, foi o telemetria da própria Microsoft — mais especificamente o Windows Device ID — que criou o fio condutor entre a rede da vítima e as contas pessoais do suspeito.
Todo login em uma máquina Windows moderna gera um identificador persistente que a Microsoft mantém no back-end para fins de detecção de fraude e correlação de sessões. Esse Device ID não é um cookie de navegador — ele sobrevive a limpezas de sessão, trocas de VPN e uso de contas descartáveis, porque está atrelado ao hardware/instalação do sistema.
De acordo com a denúncia, o mesmo Device ID que aparece nos logins fraudulentos feitos contra a joalheria em maio de 2025 aparece também em logins de contas pessoais Microsoft supostamente pertencentes a Stokes — inclusive uma cadastrada com o nome real dele. A partir daí, o FBI conseguiu conectar identidades online (o handle “Bouquet”), infraestrutura, cronologia e movimentação financeira.
“O identificador seguiu o atacante por contas e sessões dentro do ambiente da vítima, e a Microsoft foi capaz de correlacionar o mesmo Device ID com logins em contas pessoais alegadamente pertencentes a Stokes.” — trecho da denúncia federal apresentada em Chicago.
Este caso é o primeiro na literatura pública em que o Windows Device ID aparece nominalmente como pivô investigativo em uma acusação federal americana contra o Scattered Spider. A implicação é significativa: o grupo construiu boa parte de sua reputação sobre a premissa de que atores jovens, operando de casa e usando VPN comercial, ficariam invisíveis. O que a denúncia mostra é que a mesma pilha de identidade que sustenta o ecossistema Microsoft — Azure AD, Entra ID, contas pessoais, telemetria de endpoint — cria correlações que sobrevivem às camuflagens tradicionais.
É difícil não traçar um paralelo com a onda de detenções recentes envolvendo o mesmo ecossistema de atacantes. Em 2024 e 2025, autoridades britânicas, espanholas e norte-americanas prenderam integrantes suspeitos do Scattered Spider/Octo Tempest usando combinações de reconhecimento facial, coleta em fóruns Telegram/Discord e cooperação de plataformas. O uso explícito do Device ID no caso Stokes sugere que a Microsoft passou a operar de forma mais próxima às agências, algo que pode acelerar novas detenções entre operadores ainda ativos.
Para as vítimas, no entanto, a lição é mais dura: mesmo com MFA obrigatório, uma equipe de help desk mal treinada continua sendo o elo mais fraco. O ataque não usou zero-day, não usou malware exótico e não precisou quebrar a criptografia — usou telefone, engano e paciência. É o padrão do Scattered Spider desde o dia zero, e continua funcionando.
Fonte: The Hacker News
Adobe alerta para aplicação urgente do boletim APSB26-68: falha crítica de path traversal (CVSS 10)…
Nova falha de escalada de privilégios no kernel Linux permite que processo sem privilégios vire…
Novo benchmark da OpenAI mede research taste em biologia computacional. GPT-5.6 Sol acerta 31,5%; Claude…
Chamada 'Scaling AI Safety for a Multi-Agent World' distribui ate US$ 1M por projeto para…
Nova abordagem do CSAIL, apresentada no ICRA 2026, usa um LLM para desambiguar instrucoes e…
Mamba-3 propoe recorrencia mais expressiva, atualizacao complexa e formulacao MIMO. Ganho de 0,6 a 1,2…