Pesquisadores do Axur Research Team (ART) identificaram mais detalhes sobre o fluxo operacional que o grupo Plump Spider usa para executar fraudes sistêmicas no Sistema de Pagamentos Instantâneos (Pix). O achado detalha como os atacantes buscam acesso direto ao ambiente onde são geradas as ordens de pagamento em XML pacs.008 e, sobretudo, onde ocorre a Assinatura Digital da instituição financeira. Leia o artigo completo para entender esse risco.
A modernização acelerada do Sistema Financeiro Nacional, impulsionada pela tecnologia de pagamentos do Pix trouxe uma eficiência inegável, mas simultaneamente concentrou riscos na infraestrutura das empresas que integram essa tecnologia.
Ataques de alto perfil contra provedores de serviços de pagamento (PSPs) demonstraram que os cibercriminosos buscam explorar o elo mais fraco da cadeia: o fornecedor que detém acesso aos sistemas críticos de comunicação com o Banco Central. O grupo brasileiro Plump Spider, com sua sofisticação em engenharia social e evasão, representa o modelo de ameaça perfeitamente ajustado para essa finalidade.
Fraude sistêmica é um tipo de ataque direcionado à infraestrutura central de uma instituição, com o objetivo de comprometer processos internos e mecanismos de confiança que sustentam operações financeiras em larga escala. Diferente de fraudes individuais, ela explora vulnerabilidades em sistemas críticos, como redes de pagamento, módulos de assinatura digital, gateways de transações ou serviços de autenticação, para assumir a identidade operacional da própria organização.
Ao fazer isso, o agente malicioso consegue produzir ou validar transações como se fosse a instituição legítima, impactando não apenas clientes isolados, mas a integridade do ecossistema de pagamentos e a confiança do mercado. Esse tipo de fraude compromete diretamente controles de segurança e compliance, podendo gerar perdas financeiras expressivas, risco regulatório e instabilidade reputacional.
No caso dos ataques às instituições financeiras, os atacantes precisam obter acesso ao ambiente em que as ordens de pagamento, formatadas em XML pacs.008, são geradas e, mais importante, onde a Assinatura Digital do banco é aplicada. O sucesso de um ataque do grupo neste cenário é a capacidade de forçar o sistema legítimo a assinar comandos fraudulentos, fazendo com que o Banco Central (o SPI) os aceite como ordens válidas, resultando na liquidação instantânea de grandes somas para contas controladas pelos golpistas.
No início da atuação, o grupo focava apenas em instituições bancárias. Em um relatório de outubro de 2025, os pesquisadores do ART (Axur Research Team) destacam que o Plump Spider iniciou ataques a seguradoras, empresas do varejo e provedoras de sistemas de ponto de venda.
A cadeia de ataque pode começar de duas formas:
Engenharia social (vishing): atacantes se passam por técnicos de TI para induzir funcionários a instalar softwares legítimos de gerenciamento remoto (RMM), como Anydesk, TeamViewer, Supremo, HoptoDesk, RustDesk e SyncroRMM.
Aliciamento de funcionários: Busca por funcionários dessas instituições dispostos a atuarem junto ao grupo, oferecendo valores, porcentagem do ataque, advogados e entrega do dinheiro já “lavado”.
Os alvos mais comuns incluem gerentes, que podem criar contas falsas para uso em ataques; funcionários de TI, devido ao seu conhecimento da infraestrutura e topologia de rede; e, crucialmente, aqueles com acesso à VPN corporativa.
O grupo utiliza infraestruturas governamentais comprometidas para hospedar suas ferramentas, aumentando a confiança da vítima e dificultando o bloqueio por soluções de segurança.
Uma vez dentro da rede, o grupo trabalha para se movimentar lateralmente e garantir a persistência e a evasão. Eles instalam VPNs SoftEther para criar túneis criptografados, dificultando a detecção do tráfego de Comando e Controle (C2). A fase crítica de reconhecimento utiliza ferramentas como o AdExplorer para mapear o Active Directory (AD), identificar contas privilegiadas e mapear a arquitetura interna do alvo, sendo um passo essencial antes de alcançar o Gateway Pix.
Se o ataque atingir o Gateway Pix, o passo final é a manipulação da aplicação para gerar o XML pacs.008 com os dados da fraude e, em seguida, abusar da interação com o Hardware Security Module (HSM). O atacante não precisa roubar a chave privada, mas apenas forçar a aplicação legítima a usar a chave para assinar a ordem de pagamento maliciosa, concluindo o ataque ao comprometer o Certificado de Assinatura da instituição.
Para se proteger dessa ameaça, a recomendação é de que as seguintes oportunidades de detecção sejam observados:
Infraestrutura de TI e Rede
Monitorar a execução de softwares RMM não autorizados (AnyDesk, TeamViewer, Syncro) em servidores/endpoints críticos;
Alertar a criação de túneis VPN não corporativos (SoftEther em endpoints fora do perímetro);
Mapear conexões a infraestruturas governamentais brasileiras comprometidas ou IPs de hosting fora do escopo financeiro, que servem como indicadores de C2.
Gerenciamento de Identidade (IAM) e Active Directory
Observar o uso de ferramentas de reconhecimento de AD fora do padrão (ex.: AdExplorer, AdFind, SharpHound), que podem indicar fase de reconhecimento.
Acompanhar a criação de novas contas administrativas ou de serviço fora da política da instituição. Observar os principais eventos: 4720 (criação de conta), 4722 (habilitação), 4728/4732/4756 (adição a grupos privilegiados).
Ficar atento a tentativas de replicação não autorizada do AD (DCSync), que podem aparecer como eventos 4662.
Monitorar mudanças críticas em objetos e permissões do AD, como alterações em ACLs, GPOs ou delegações. Criação de casos de uso para os eventos 5136 (alteração em objeto do diretório) e 4739 (mudança na política de domínio).
Analisar anomalias de login privilegiado, como sequência de falhas (4625) seguidas de sucesso (4624), logons com privilégios especiais (4672) vindos de origens incomuns ou via VPN.
Implementar a tierização do Active Directory (Tiered Administration Model), separando contas administrativas por níveis de criticidade:
- Tier 0: controladores de domínio, HSMs, PKI - acesso altamente restrito, nunca usado em estações comuns ou via VPN.
- Tier 1: servidores de aplicação e infraestrutura - acessos segmentados e monitorados.
- Tier 2: estações de usuários finais - contas sem permissão de administração fora do escopo local.
7. Implementar o modelo de acesso Just-In-Time (JIT), garantindo que privilégios administrativos sejam concedidos apenas quando realmente necessários e por tempo limitado.
Acompanhar o uso da chave de assinatura no HSM em tempo real, criando alertas para desvios no padrão de requisições de assinatura do XML pacs.008.
Monitorar operações administrativas no HSM, que devem ser raras, como criação de chaves, alteração de permissões ou tentativas de exportação. Associar com auditoria do fabricante ou logs do sistema.
Observar desvios no padrão de transações do Gateway Pix, como aumento repentino de volume ou transações fora do horário usual. Aqui, além de telemetria de aplicação, é importante correlacionar com logons privilegiados (4672) e acessos a segredos (4663 – acesso a objetos protegidos).
Ficar atento a tentativas de alterar certificados ou configurações do Gateway, correlacionando com 5136 (mudança em objetos de configuração) e logs de alteração de arquivos de sistema.
Detectar acessos incomuns a cofres de segredos ou KMS, que podem aparecer como eventos de 4663 (acesso a arquivo/objeto sensível) em servidores que armazenam configs do Gateway Pix.
Acesse o insight da solução de Cyber Threat Intelligence da Axur para conferir os TTPs, IoCs e outras recomendações aqui.
O avanço de grupos como o Plump Spider evidencia que a sofisticação da fraude sistêmica acompanha a própria evolução do ecossistema de pagamentos. Quando atacantes conseguem se posicionar dentro do fluxo operacional de instituições financeiras e provedores de pagamento, os mecanismos tradicionais de defesa tornam-se insuficientes.
Para as organizações, não se trata apenas de detectar eventos suspeitos, mas de entender o adversário, suas táticas e sua cadeia de ataque. A pesquisa contínua do Axur Research Team (ART) mantém esse conhecimento vivo e aplicável, oferecendo à comunidade referências sobre como ameaças emergem e se adaptam.
Continue explorando outras análises e relatórios técnicos em nossa biblioteca de recursos.