A inteligência artificial deixou de ser só um termo da moda. Em 2024–2025 entrou, de forma assumida, no arsenal dos cibercriminosos.
Relatórios recentes de threat intelligence, baseados em casos reais, mostram ataques em produção em que:
- Agentes de IA fazem reconhecimento, intrusão e extorsão;
- Ransomware é escrito e empacotado com ajuda da IA;
- “Trabalhadores remotos” falsos usam IA para simular competência técnica;
- Toda a cadeia de fraude é otimizada por modelos de IA.
Ou seja: isto já não é teoria nem “futuro distante”. Está a acontecer enquanto lê este texto.
Neste artigo, vai descobir 5 padrões concretos de cibercrime com IA e o que pode fazer para não ser a próxima vítima. Este artigo olha em detalhe para o relatório Threat Intelligence Report da Anthropic, publicado no final de 2025. Vamos a isto?
O que é “cibercrime com IA” em 2026
Até há pouco tempo o filme era simples: humanos escreviam o malware, humanos montavam o plano, e a automação entrava mais tarde – com os chamados botnets, com spam e com kits de phishing.
Com a nova geração de modelos, a IA passou a desempenhar outro papel. Já não responde apenas “como é que se faz”, mas:
- Escreve código à medida;
- Executa comandos e interpreta resultados;
- Analisa grandes volumes de dados roubados;
- Sugere alvos, montantes de resgate e argumentos de chantagem.
Na prática, um único operador com um modelo de IA razoavelmente solto consegue fazer o trabalho que antigamente tinha que ser feito por uma equipa de ataque inteira. Assustador, não é?
1. “Vibe hacking”: agentes de IA a fazer reconhecimento e extorsão em escala
Num dos casos analisados neste relatório, um atacante usou um agente de IA focado em programação para montar uma operação de extorsão de dados contra, pelo menos, 17 organizações em poucas semanas. Falamos de governos locais, hospitais, serviços de emergência e instituições religiosas.
O agente era usado para fazer quase tudo:
- Mapear milhares de endpoints VPN expostos;
- Entrar em redes internas;
- Identificar controladores de domínio e servidores SQL;
- Extrair bases de dados com salários, contratos, dados clínicos e credenciais:
- Analisar ficheiros financeiros para perceber “quanto é que aguentam pagar”.
- Até gerar notas de extorsão em HTML adaptadas a cada vítima!
Em vez de cifrar sistemas como no ransomware clássico, o atacante limitou-se a dizer: “tenho estes dados; se não pagarem, exponho‑os”. O que distingue este cenário é a combinação de escala com inteligência. Não é apenas automação cega: a IA ajuda a tomar:
- Decisões táticas (por onde entrar, o que procurar etc.);
- Decisões estratégicas (que dados são mais sensíveis, que histórias de ameaça fazem mais pressão).
O que fazer para se defender:
1 – Garantir MFA forte em todo o acesso remoto (VPN, RDP, email, painéis);
2 – Segmentar a rede para que Active Directory, backups e sistemas críticos não estejam misturados com estações de trabalho;
3 – E assumir que o cenário principal é extorsão com dados, não só paralisação. Isso implica saber que informação seria devastadora se fosse publicada amanhã e ter um plano mínimo de resposta preparado – conforme, aliás, a NIS2 passou a obrigar vários setores!
2. Malware “no‑code”: ransomware escrito por IA e vendido como serviço
Outro caso mostra um operador britânico a vender kits de ransomware em fóruns da darknet, com preços entre 400 e 1 200 dólares. Os pacotes incluíam:
- Executáveis com encriptação ChaCha20;
- Gestão de chaves em RSA;
- Técnicas anti‑EDR;
- Apagamento de cópias de sombra;
- E até um painel web para gerir vítimas!
Tecnicamente, eram ferramentas avançadas.
A análise ao histórico desse operador revela, no entanto, uma dependência quase total da IA para implementar as partes críticas: criptografia, evasão de EDR, manipulação de APIs do Windows. Ou seja: em vez de ser um engenheiro de baixo nível a escrever tudo, é alguém a pedir ao modelo “escreve isto”, “melhora aquilo”, “torna este código indetetável”.
Entende o problema?
Isto reduz drasticamente a barreira de entrada. Deixa de ser necessário formar um programador sénior em malware; basta alguém com motivação, alguma paciência e acesso a um modelo que não esteja bem controlado.
E para uma PME, o efeito é simples: aumentam os operadores “médios” com ferramentas perigosas.
O que a sua empresa pode fazer já:
1 – Substituir antivírus genérico por EDR em servidores e máquinas críticas;
2 – Configurar políticas que impeçam a execução de binários em pastas típicas de download e partilhas abertas;
3 – E prestar atenção a comportamentos típicos de ransomware (criação massiva de ficheiros cifrados, eliminação de shadow copies, acesso súbito a muitos ficheiros num share).
3. Trabalhadores remotos falsos: IA a simular competência técnica
Os esquemas de “IT workers” associados à Coreia do Norte já são conhecidos por todos nós. A diferença hoje está no grau de dependência de IA.
O relatório mostra operadores que:
- Não conseguem escrever código útil sem assistência linha a linha;
- Precisam da IA para interpretar mensagens técnicas básicas;
- Usam modelos para construir CVs, portfólios, histórias de carreira, respostas de entrevista, emails para clientes e justificações técnicas!
E mesmo assim…
Conseguem ser contratados por empresas ocidentais, manter posições de engenharia e ter acesso a repositórios de código, pipelines de CI/CD e, em alguns casos, dados de clientes. Do ponto de vista da organização, é “só mais um dev remoto que cumpre o que lhe pedem”.
Esta simulação de competência é um problema sério para qualquer empresa que subcontrata desenvolvimento a equipas remotas, usa outsourcing para funções técnicas ou dá acesso direto à sua infraestrutura a freelancers que nunca conheceu presencialmente.
O que a sua empresa pode fazer para se defender
1 – Rever o modelo de acesso de terceiros ao código e às infraestruturas;
2 – Aplicar o princípio do mínimo privilégio a equipas externas;
3 – Monitorizar padrões estranhos nos repositórios (downloads integrais fora de hora, clones frequentes de projetos completos, acessos a partir de localizações improváveis).
4. APTs com IA “full stack”: campanhas estatais mais rápidas e eficientes
Um dos casos mais pesados envolve um grupo associado à China, que usou IA como assistente técnico ao longo de quase todo o ciclo de ataque numa campanha de nove meses contra infraestruturas críticas no Vietname.
A IA foi usada para:
- Desenvolver scanners específicos para blocos de IP vietnamitas;
- Escrever scripts de fuzzing e exploração de uploads;
- Otimizar ataques de força bruta e hash cracking;
- Sugerir técnicas de privilege escalation;
- E planear movimento lateral.
Ouch!
Aqui não estamos a falar de alguém inexperiente a ser “erguido” pela IA. Estamos a falar de uma equipa capaz que fica mais rápida a desenvolver tooling (ferramentas), a adaptar‑se ao alvo e a explorar falhas.
Porque é que isto interessa a uma PME em Portugal? Porque esse tooling, com o tempo, tende a ser copiado, adaptado e reutilizado por grupos criminais não estatais. O que hoje é exclusivo de uma APT, amanhã aparece em campanhas de uso comum.
O que a sua empresa pode fazer para se proteger:
1 – Ter um processo de atualização sério em tudo o que está exposto à internet (VPNs, firewalls, routers, aplicações web);
2 – Reduzir a superfície exposta ao mínimo necessário;
3 – Montar um mínimo de monitorização centralizada de logs, para não depender só do “reparámos que algo está estranho” quando já é tarde.
5. Fraude potenciada por IA: do stealer log à identidade sintética
A parte final do relatório olha para esquemas de fraude e mostra a IA a trabalhar em todo o pipeline, desde a análise de dados roubados até à interação com a vítima.
Há operadores que usam IA para:
- Ler automaticamente logs de malware do tipo “stealer” (aqueles que capturam credenciais e histórico de navegação);
- Classificar sites visitados;
- Identificar quem usa banca online, quem está em plataformas de investimento, quem joga e gasta dinheiro;
- E construir perfis de vítimas com maior probabilidade de dar retorno.
Existem carders a usar IA para:
- Integrar vários serviços de validação de cartões;
- Trocar de API quando uma começa a falhar;
- Gerir o ritmo dos pedidos para não disparar alarmes;
- E processar grandes lotes de cartões com um grau de fiabilidade que antes exigia equipas de desenvolvimento.
E há bots de romance scam a gerar mensagens “emocionalmente inteligentes” em várias línguas, que se adaptam à fase da relação fraudulenta e retiram o sinal clássico do inglês manhoso e do texto robótico. Sim: a coisa está assustadora!
Tudo isto se combina com serviços de identidade sintética, onde a IA ajuda a montar perfis falsos coerentes para abrir contas, pedir crédito ou lavar dinheiro.
O que a sua empresa pode fazer para se proteger:
Se lida com pagamentos, crédito ou contas de cliente, vale a pena:
1 – Dar robustez a processos de onboarding e KYC,
2 – Olhar para padrões de uso (novos dispositivos em contas antigas, geolocalizações improváveis, tentativas falhadas em série, comportamentos atípicos)
3 – Explicar internamente que a qualidade das mensagens fraudulentas já não é o que era. Os sinais de alerta mudaram!
O que muda para uma PME portuguesa “normal”
Vou resumir desta forma:
As campanhas descritas provam que ataques complexos já não exigem, necessariamente, equipas grandes e altamente treinadas. Um operador mediano, com IA certa, chega mais longe do que alguma vez conseguiria sozinho.
O cenário de risco mais plausível para muitas empresas deixa de ser “só” ficar com sistemas parados. Passa a ser extorsão com dados expostos. Não é preciso guardar cartões de crédito para ter um problema sério: emails internos, contratos, salários, dados pessoais ou clínicos são suficientes para estragar a reputação e chamar reguladores à porta.
E a superfície de ataque de uma organização não é só o que está dentro do seu servidor ou escritório. Inclui tudo o que terceiros tocam: fornecedores de software, IT externo, parceiros de pagamento, agências de marketing, freelancers.
Um plano realista em 90 dias
Em vez de transformar isto num projeto impossível, faz sentido escolher poucas coisas com muito impacto, para começar a proteger a sua empresa. Por exemplo:
- Fotografar a superfície mais crítica
Nas primeiras duas semanas, identificar acessos remotos que existem (VPN, RDP, painéis SaaS importantes), onde vivem os dados mais sensíveis e quem lhes consegue aceder. - Fortalecer o óbvio
Nas semanas 3 a 6, implementar MFA forte em tudo o que é crítico, instalar EDR em servidores e máquinas de utilizadores privilegiados e separar minimamente Active Directory, backups e sistemas críticos do resto da rede. - Garantir que a empresa se consegue levantar depois de um ataque
Entre a semana 7 e a 10, assegurar backups imutáveis (3‑2‑1‑1), testar um restauro completo e rever permissões a dados sensíveis, encriptando quando fizer sentido. - Fechar o ciclo humano e de terceiros
Nas semanas 11 a 13, fazer pelo menos uma sessão de sensibilização interna sobre fraudes modernas e rever contratos/acessos de fornecedores que mexem em ativos críticos.
Não é perfeito, mas é o tipo de plano que separa empresas “presas fáceis” de empresas que dão muito mais trabalho a um atacante com IA.
Conclusão: IA não inventou o cibercrime – escalou‑o
O padrão que atravessa todos estes casos é direto: tudo o que torna um programador mais produtivo, torna um criminoso mais perigoso.
Hoje já existem:
- Extorsões de dados operadas em série por um único operador apoiado por IA;
- Ransomware avançado escrito com “assistência total” do modelo;
- Fraudes com mensagens muito credíveis, em qualquer língua, com leitura emocional afinada.
Se uma organização não quer ver o seu nome no próximo relatório deste género, a altura certa para agir é agora – enquanto este tipo de ataque ainda é exceção e não a norma.
Se precisar de ajuda para traduzir este cenário para a realidade concreta da sua infraestrutura, a equipa da Morebiz pode mapear a superfície de ataque, priorizar as medidas com maior retorno para os próximos 90 dias e implementar as camadas técnicas (MFA, EDR, backups, segmentação) sem parar o negócio.
Quando decidir que está na altura de tratar disto com seriedade, fale connosco e marcamos uma auditoria de cibersegurança adaptada à sua empresa. Até breve!
