Uma evolução significativa do trojan de acesso remoto (RAT) Millenium infectou mais de 62 mil dispositivos Windows em mais de 160 países, usando bots do Telegram para comunicação com seus operadores. A empresa de segurança Group-IB, que examinou a versão 4.* do malware, identificou 62.289 endpoints infectados, sendo 39.730 apenas no primeiro trimestre de 2026, o que indica um aumento expressivo nas atividades da campanha.
Os pesquisadores atribuem as campanhas maliciosas a um cluster de ameaças que monitoram como Y2K Operators e identificam o desenvolvedor do malware pelo pseudônimo “ShinyEnigma”. O Millenium RAT 4 é comercializado como um serviço de malware-as-a-service (MaaS), com preços acessíveis. Essa estrutura, segundo a Group-IB, torna a ferramenta disponível para uma ampla gama de atores maliciosos.
Mudanças arquitetônicas e capacidades
Diferentemente das versões anteriores baseadas em .NET, o Millenium RAT 4 foi reescrito em C++ nativo, eliminando a dependência do framework e representando uma mudança arquitetônica significativa. O malware mantém o uso da API de bots do Telegram para comunicação de comando e controle, o que permite aos operadores evitarem a manutenção de servidores C2 dedicados.
Uma vez instalado, o RAT pode roubar dados de navegadores, coletar informações do sistema, registrar teclas digitadas, capturar telas e áudio do microfone, extrair dados do Telegram e Discord, baixar e executar cargas adicionais, além de executar comandos arbitrários do Windows ou PowerShell. Para estabelecer persistência, ele se copia para o diretório %APPDATA% e cria uma entrada de execução automática no registro do Windows.
Apesar de seu amplo conjunto de capacidades, a Group-IB observa que o Millenium RAT não emprega explorações sofisticadas. Em vez disso, utiliza funções padrão da API do Windows, incluindo a exibição de prompts legítimos de Controle de Conta de Usuário (UAC) ao tentar obter privilégios elevados.
Métodos de distribuição e recomendações
Os pesquisadores observaram o malware sendo distribuído por meio de uma ampla gama de iscas de engenharia social, incluindo software crackeado, utilitários de criptomoedas, kits de hacking, ferramentas de OSINT, construtores de exploração e cheats relacionados ao Roblox. Em algumas campanhas, os operadores chegaram a trojanizar construtores de malware e ferramentas de segurança ofensiva, infectando os próprios cibercriminosos que tentavam baixá-los.
Uma campanha analisada pela Group-IB utilizou iscas com tema PDF, nas quais um atalho malicioso do Windows executava o PowerShell para baixar tanto um PDF isca quanto a carga do Millenium RAT. O documento legítimo era aberto normalmente enquanto o malware era executado silenciosamente em segundo plano. Para se misturar aos sistemas infectados, as cargas maliciosas adotavam nomes de arquivo associados a componentes do Windows ou softwares de segurança, como svchost.exe, MsEdgeUpdate.exe, Microsoft Antivirus.exe e setup.exe.
A Group-IB recomenda evitar executáveis de fontes não confiáveis, aplicar atualizações de segurança prontamente, habilitar a autenticação multifator e tratar com suspeita prompts inesperados do UAC que solicitem privilégios de administrador. Os usuários também devem monitorar entradas incomuns de execução automática no registro e processos com nomes de sistema executados a partir de diretórios com permissão de gravação do usuário.
