Cibercrime passa a operar em escala industrial, com Governos como alvos principais

Relatório da HPE Threat Labs revela que adversárioscibernéticos estão transformando seus modelosoperacionais para escalar e acelerar ataques

• Adversários cibernéticos adotam modelos operacionais semelhantes aos de empresas para atingir todos os setores, aponta a HPE

• IA generativa é utilizada para produzir vozes sintéticas, imagens e vídeos em campanhas de fraude por personificação direcionada

• Nova iniciativa HPE Threat Labs reúne expertise e experiência de classe mundial em pesquisa de ameaças de rede

São Paulo, 30 de março de 2026 – A HPE (NYSE: HPE) divulgou os resultados do seu primeiro relatório de pesquisa sobre ameaças cibernéticas, In the Wild, que evidencia uma mudança significativa na forma como adversários modernos operam em escala em indústrias globais e setores públicos críticos. Com base na análise da HPE sobre atividades reais de ameaças observadas globalmente ao longo de 2025, o relatório mostra que o cibercrime passou a operar em escala industrial, com atacantes utilizando automação e vulnerabilidades já conhecidas para ampliar campanhas e comprometer alvos de alto valor repetidamente e em uma velocidade superior à capacidade de resposta das defesas. Para as empresas, a capacidade de enfrentar essas campanhas agressivas e preservar a confiança digital em suas redes tornou-se uma prioridade estratégica de negócios.

O relatório aponta um cenário global de ameaças definido por escala, organização e velocidade. A partir da análise de 1.186 campanhas ativas observadas mundialmente entre 1º de janeiro e 31 de dezembro de 2025, os dados revelam um ecossistema de adversários em rápida evolução, marcado por profissionalização, automação e direcionamento estratégico. Os invasores utilizam infraestruturas reutilizáveis e exploram vulnerabilidades recorrentes para atingir, com precisão, setores de alto valor.

“In the Wild reflete a realidade que as organizações enfrentam diariamente”, afirma Mounir Hahad, Head do HPE Threat Labs. “Nossa pesquisa é baseada em atividades reais de ameaças, não em testes teóricos conduzidos em ambientes controlados. Ela mostra como os atacantes se comportam em campanhas ativas, como se adaptam e onde estão obtendo sucesso. Esses insights ajudam a aprimorar a detecção, fortalecer as defesas e oferecer aos clientes uma visão mais clara das ameaças com maior potencial de impactar seus dados, infraestrutura e operações. Isso resulta em mais segurança, respostas mais rápidas e maior resiliência diante de ataques cada vez mais organizados e persistentes.”

Infraestrutura em escala industrial impulsiona campanhas modernas Como demonstra este relatório inaugural, o HPE Threat Labs identificou um aumento tanto no volume de ataques quanto na sofisticação das táticas e técnicas utilizadas pelos adversários. Atores maliciosos, incluindo grupos de espionagem ligados a Estados-nação e operações organizadas de cibercrime, passaram a operar de forma semelhante a grandes empresas, com estruturas hierárquicas, equipes especializadas, coordenação ágil e implantação de infraestruturas de ataque amplas e industrializadas, além de profundo conhecimento sobre aplicações e documentos amplamente utilizados no ambiente corporativo.

Organizações governamentais foram o principal alvo global, com 274 campanhas envolvendo esferas federal, estadual e municipal. Em seguida, aparecem os setores financeiro e de tecnologia, com 211 e 179 campanhas, respectivamente, refletindo o foco contínuo dos atacantes em dados sensíveis e ganhos financeiros. Também foram fortemente visados os setores de defesa, manufatura, telecomunicações, saúde e educação. Em conjunto, esses dados reforçam que os atacantes priorizam estrategicamente setores ligados à infraestrutura nacional, dados sensíveis e estabilidade econômica, mas deixam claro que nenhum setor está imune.

Ao longo do ano, os agentes de ameaça utilizaram mais de 147 mil domínios maliciosos, cerca de 58 mil arquivos de malware e exploraram ativamente 549 vulnerabilidades. Esse nível de profissionalização torna os ataques mais previsíveis em sua execução, porém mais difíceis de interromper, já que a neutralização de um componente raramente interrompe toda a operação.

Automação e IA aceleram velocidade e impacto dos ataques Os atacantes também passaram a adotar novas técnicas para aumentar a velocidade e o impacto das campanhas. Algumas operações utilizaram fluxos automatizados em “linha de montagem” por meio de plataformas como o Telegram para exfiltrar dados roubados em tempo real. Outras recorreram à IA generativa para criar vozes sintéticas e vídeos deepfake em esquemas de vishing (phishing por voz) e fraudes por personificação de executivos. Em outro caso, um grupo de extorsão conduziu pesquisas de mercado sobre vulnerabilidades em redes privadas virtuais (VPNs) para otimizar suas estratégias de invasão.

Essas abordagens permitem que os atacantes atuem com maior rapidez, alcancem mais alvos e concentrem esforços em setores estratégicos, como infraestrutura nacional, dados críticos e estabilidade econômica. Ao otimizar operações e priorizar alvos de alto valor, os criminosos aumentam a eficiência na busca por ganhos financeiros, seguindo estrategicamente o “fluxo do dinheiro”.

Medidas práticas para fortalecer a resiliência cibernética O relatório destaca que uma defesa eficaz depende menos da adoção de novas ferramentas e mais da melhoria na coordenação, visibilidade e capacidade de resposta em toda a rede. As organizações podem adotar as seguintes medidas:

• Eliminar silos ao compartilhar inteligência de ameaças entre equipes, clientes e setores, adotando uma abordagem SASE (Secure Access Service Edge) para unificar rede e segurança e identificar padrões de ataque com maior antecedência.

• Corrigir vulnerabilidades em pontos de entrada comuns, como VPNs, SharePoint e dispositivos de borda, reduzindo a superfície de ataque.

• Aplicar princípios de Zero Trust para reforçar a autenticação e limitar movimentos laterais, com ZTNA (Zero Trust Network Access) validando continuamente usuários e dispositivos.

• Ampliar visibilidade e capacidade de resposta com inteligência de ameaças, tecnologias de deception e detecção nativa em IA, ajudando as organizações a detectar, analisar e responder aos ataques com maior velocidade e precisão.

• Estender a segurança além do perímetro corporativo, incluindo redes domésticas, ferramentas de terceiros e cadeias de suprimentos.

Juntas, essas ações ajudam as organizações a responder com mais agilidade, reduzir riscos e se proteger melhor contra ameaças cada vez mais estruturadas e persistentes.

HPE Threat Labs eleva o nível de defesa de redes

Com base em sua expertise consolidada, a HPE lançou o HPE Threat Labs para responder a esse cenário em evolução. A iniciativa reúne talentos e inteligência de segurança da HPE e da Juniper Networks, criando um conjunto ainda mais robusto de dados e conhecimentos para identificar e acompanhar ameaças reais, além de integrar essa inteligência diretamente aos produtos da HPE para detectar e bloquear ataques de forma mais eficaz.

O HPE Threat Labs foi criado para conectar pesquisas de ponta a resultados concretos em segurança”, afirma David Hughes, SVP e GM de SASE e Segurança para Networking na HPE. “O relatório In the Wild mostra que os invasores operam hoje com a disciplina, escala e eficiência de grandes empresas globais. Combatê-los exige o mesmo nível de estratégia, integração e rigor operacional. Ao incorporar inteligência de ameaças em nossos produtos, o HPE Threat Labs ajuda as organizações a reduzir riscos, minimizar impactos e proteger os sistemas essenciais para seus negócios.”

O relatório HPE Threat Labs In the Wild 2026 já está disponível e é direcionado a CISOs, líderes de segurança e tomadores de decisões em TI que buscam entender como os atacantes modernos operam e como detê-los.

Metodologia

O HPE Threat Labs compilou as descobertas no relatório In the Wild 2026 usando múltiplas fontes de inteligência. A maior parte dos dados estatísticos é derivada da telemetria de clientes do Juniper Advanced Threat Prevention Cloud e de uma rede global privada de honeypots. Esses honeypots, incluindo variantes de TCP, SSH e SMB, estão distribuídos mundialmente para capturar diversas atividades de ameaças. Quando apropriado, a pesquisa é complementada com dados contextuais e estatísticas de repositórios de inteligência de ameaças de código aberto e associações de terceiros selecionados do setor. Os dados apresentados neste relatório abrangem o período de 1º de janeiro de 2025 a 31 de dezembro de 2025.