As postagens de emprego não levantam suspeitas de imediato, embora estejam claramente longe de serem para tutoria ou babá.
“Candidatas do sexo feminino são uma PRIORIDADE, mesmo que você não seja dos EUA, se você não tiver um sotaque claro, sinta-se à vontade para perguntar,” dizia uma postagem em um canal público do Telegram no dia 15 de dezembro. “PESSOAS INEXPERIENTES SÃO ACEITAS, podemos treiná-las do zero, mas esperamos que absorvam informações e aprendam o que estão estudando.” Os interessados devem estar disponíveis das 12h às 18h EST durante a semana e ganharão $300 por cada “chamada bem-sucedida”, pagos em criptomoeda.
Claro que o anúncio não é para um emprego legítimo. Trata-se de uma postagem de recrutamento para se juntar a uma organização criminosa clandestina, cujo trabalho consiste em realizar ataques de ransomware contra grandes corporações. E os ‘trabalhadores’ sendo recrutados são, em grande parte, crianças do ensino fundamental e médio. A organização é chamada de The Com, abreviação de “A Comunidade”, e conta com cerca de 1.000 pessoas envolvidas em várias associações e parcerias efêmeras, incluindo grupos conhecidos como Scattered Spider, ShinyHunters, Lapsus$, SLSH, e outras versões. As associações mudam e se reconfiguram frequentemente no que a pesquisadora especialista Allison Nixon descreve como “uma grande sopa de espaguete.” Desde 2022, a rede conseguiu infiltrar empresas dos EUA e do Reino Unido com uma valorização de mercado coletiva de mais de $1 trilhão através de vazamentos de dados, roubo, comprometimento de contas, phishing e campanhas de extorsão. Cerca de 120 empresas foram alvos, incluindo marcas como Chick-fil-A, Instacart, Louis Vuitton, Morningstar, News Corporation, Nike, Tinder, T-Mobile, e Vodafone, de acordo com pesquisas da empresa de inteligência cibernética Silent Push e documentos judiciais.
O que torna The Com e esses grupos especialmente perigosos é tanto sua sofisticação quanto a forma como eles utilizam a juventude de seus integrantes. Suas táticas exploram as maiores forças dos adolescentes, incluindo sua habilidade técnica, astúcia, e facilidade como falantes nativos de inglês. No entanto, sua cegueira para as consequências e o hábito de ter conversas em público os tornam vulneráveis à lei. A partir de 2024, uma série de prisões de alto perfil e indiciamentos de jovens e adolescentes com idades entre 18 e 25 revelou o risco significativo de se envolver com The Com. Em agosto, um jovem de 20 anos na Flórida foi sentenciado a uma pena de 10 anos de prisão federal e condenado a pagar restituição de $13 milhões por seu papel em múltiplos ataques. Menores não identificados também foram listados como co-conspiradores, e as idades em que alguns supostamente começaram a delinquir estão entre 13 e 14 anos, segundo autoridades legais.
Zach Edwards, pesquisador sênior de ameaças da Silent Push, afirmou que a estrutura é classicamente a mesma, onde os jovens realizam a maior parte do trabalho perigoso em uma organização criminosa. “As pessoas que conduzem os ataques estão dramaticamente em maior risco,” disse Edwards. “Essas crianças estão apenas se jogando ao massacre.”
Edwards mencionou que o grupo tende até a desacelerar durante as férias “porque estão abrindo presentes da mamãe embaixo da árvore de Natal,” disse. “Eles são, você sabe, adolescentes de 15 anos abrindo suas meias.”
Geralmente, os pais só descobrem que seus filhos estão envolvidos quando o FBI bate à porta, observou Cynthia Kaiser, ex-diretora adjunta da divisão cibernética do FBI.
“Quando eles estão em um nível de crime federal, é quando os pais ficam sabendo porque é aí que o FBI entra em cena,” afirmou. O crime cibernético carece de todas as “vias de saída” naturais que existem em outros tipos de delitos juvenis, explicou Kaiser. Se uma criança depreda uma quadra escolar com spray, normalmente é pega por um segurança ou professor, e enfrentará consequências. É um sinal de alerta para intervenção futura que não existe nos espaços online que as crianças frequentam.
“Isso permite que essas crianças cheguem ao ponto em que estão cometendo crimes federais sobre os quais ninguém jamais conversou com elas,” disse Kaiser. Ela frequentemente observou “pais amorosos, pais envolvidos, crianças que realmente tinham muitas vantagens, mas que acabaram sendo levadas para isso, o que acredito ser fácil de acontecer.”
Aprendendo com LinkedIn e Slack
A Silent Push, que acompanha o Scattered Spider e outros grupos há anos, descobriu que desde março de 2025, o grupo voltou a usar a engenharia social como a base de suas operações de ransomware, algo em que é incrivelmente habilidoso. O grupo supostamente roubam listas de funcionários e cargos ao comprometer plataformas de software de recursos humanos e realizar uma extensa pesquisa no LinkedIn, disse Nixon. Com um elenco completo em mãos, o grupo liga diretamente para os funcionários, fingindo ser uma nova contratação com perguntas aparentemente inócuas sobre plataformas, acesso à nuvem e outras infraestruturas tecnológicas. Eles também são conhecidos por ler murais de mensagens internas do Slack para captar a linguagem corporativa e siglas, além de descobrir quem visam para permissões a sistemas. Edwards afirmou que o grupo se aproveita bastante de testes A/B para determinar quais tipos de chamadas são mais exitosas e, em seguida, não se desvia muito desse caminho.
Charles Carmakal, diretor de tecnologia da Mandiant Consulting da Google Cloud, disse que os membros do grupo também aprendem uns com os outros à medida que realizam mais intrusões e compartilham suas percepções em salas de bate-papo. Eles frequentemente abusam de softwares legítimos de modo a alcançar seus objetivos sem precisar criar malware ou software malicioso, afirmou ele.
“Eles são criativos,” disse Carmakal. “Eles leem blogs, entendem o que as equipes vermelhas estão descobrindo, o que as equipes azuis estão descobrindo, o que outros adversários estão fazendo, e replicam algumas dessas técnicas também. Eles são pessoas inteligentes.”
Nixon observou iscas de phishing nas quais os atacantes afirmam estar conduzindo uma investigação interna de recursos humanos sobre algo que uma pessoa supostamente disse que era racista ou algum outro tipo de queixa. “Essas são acusações falsas realmente perturbadoras, então o funcionário ficará bastante chateado e motivado a encerrar isso,” disse Nixon. “Se eles conseguem deixar o funcionário emocional, estão com ele na armadilha.”
Uma vez que o funcionário esteja abalado, os atacantes o direcionam para um site falso de suporte técnico ou de RH para que insira suas credenciais de login. Em empresas mais sofisticadas que utilizam autenticação multifator ou chaves de segurança física, os atacantes usam o software remoto da empresa, como AnyDesk ou TeamViewer, para eventualmente acessar redes internas. “Eles são muito conhecedores sobre como essas empresas se defendem e autentiquem seus próprios usuários, e desenvolveram essas técnicas ao longo de um longo período,” afirmou Nixon.
Além disso, o Scattered Spider identificou uma assimetria fundamental na autenticação, disse Sherri Davidoff, fundadora da LMG Security. Quando os atendentes de suporte técnico ligam para os funcionários, raramente precisam se identificar ou provar que trabalham para a empresa. No entanto, quando os funcionários contatam os atendentes, devem verificar quem são.
“Muitas organizações, seja intencionalmente ou não, condicionam seus funcionários a atender solicitações de suporte técnico,” disse Davidoff. “[Os ameaçadores] então imitarão a urgência, qualquer estresse e a sensação de autoridade que esses chamadores têm.”
Os jovens de hoje
Uma das características do Scattered Spider é a enorme desorganização, observou Greg Linares, um ex-hacker que agora é analista principal de inteligência de ameaças na Huntress. Ao contrário dos operadores de ransomware mais estabelecidos, os membros do Scattered Spider se comunicam diretamente com os executivos de empresas-alvo sem negociadores formais. “Eles não têm uma pessoa profissional no meio, então é apenas eles sendo jovens adultos e se divertindo,” disse Linares. “Essa imprevisibilidade entre o grupo os torna carismáticos e perigosos ao mesmo tempo.”
Os ataques do Scattered Spider apresentaram comportamentos ousados e audaciosos, como renomear o CEO para algo profano na lista de endereços de e-mail da empresa ou ligar diretamente para clientes exigindo pagamentos de resgate—um comportamento típico de troll “para a diversão”, disse Edwards. Atores criminosos sérios envolvidos em esquemas de geração de receita com ransomware, geralmente trabalhando para estados-nação como a Rússia ou a Coreia do Norte, utilizam Signal ou serviços criptografados, acrescentou ele. Os membros mais jovens do Scattered Spider frequentemente criam novos canais no Telegram e Discord quando são banidos e anunciam o novo canal, tornando-o público novamente.
Criminosos experientes “não saem por aí e criam outro Telegram, tipo, ‘Vamos lá, todo mundo, voltem para a piscina, a água está boa’,” disse Edwards. “Isso é absolutamente o que crianças fazem.”
Adam Meyers, vice-presidente sênior de contramedidas na CrowdStrike, disse à Fortune que essas técnicas foram aprimoradas após anos de brincadeiras crescentes em espaços de videogame. As crianças começam roubando itens ou destruindo mundos de outras crianças em jogos como Minecraft, principalmente para trollar e intimidar umas às outras, disse Meyers. A partir daí, progridem para assaltos de identidade, geralmente porque querem nomes de contas que foram reclamados por usuários há muito tempo, segundo Meyers. Os assaltos de contas então evoluem para a mira em detentores de criptomoeda.
“Muitos desses adolescentes infratores foram recrutados e preparados em sites de jogos, primeiro com a promessa de ensino sobre como adquirir moeda in-game, avançando para atacar garotas para extorsão sexual,” disse Katie Moussouris, fundadora da startup Luta Security. “A partir daí, eles são incentivados a mudar para outros crimes de hacking. Há um pipeline criminoso bem estabelecido que prepara jovens infratores para evitar processos adultos.”
Uma denúncia desvendada em setembro em Nova Jersey alegou que o adolescente britânico, Thalha Jubair, de 19 anos, fazia parte do Scattered Spider desde os 15 ou 16 anos. Jubair enfrenta uma pena máxima de 95 anos de prisão em um esquema que as autoridades dos EUA alegam ter infiltrado 47 empresas não identificadas, incluindo companhias aéreas, fabricantes, varejistas, empresas de tecnologia e serviços financeiros, e arrecadado mais de $115 milhões em pagamentos de resgate.
Owen Flowers, de 18 anos, foi acusado juntamente com Jubair no Reino Unido, de acordo com a Agência Nacional do Crime do Reino Unido. Ambos são acusados em ataques à Transport for London e de conspiração para danificar duas empresas de saúde nos EUA. Flowers e Jubair se declararam não culpados e um julgamento está marcado para o próximo ano.
Essas acusações surgem após outro suposto líder do Scattered Spider, Noah Michael Urban, de 20 anos, ter se declarado culpado de fraudes eletrônicas, roubo de identidade e acusações de conspiração e foi sentenciado a 10 anos de prisão federal em agosto. Ele foi condenado a pagar $13 milhões de restituição.
Quatro outros, todos com menos de 25 anos, foram acusados juntamente com Urban em 2024 por supostamente serem parte do esquema de invasão cibernética e roubo de criptomoeda do Scattered Spider, incluindo um menor não identificado. Em outro ataque supostamente do Scattered Spider, pelo menos um menor não identificado se entregou à polícia em Las Vegas por participar de ataques a empresas de jogos em Las Vegas, de acordo com a polícia.
‘Candidatas do sexo feminino são uma PRIORIDADE’
O campo do crime cibernético é quase exclusivamente dominado por atores masculinos, mas o Scattered Spider conseguiu recrutar mulheres adolescentes e jovens adultas que se tornaram um ativo estratégico. Nixon, da Unit 221B, afirmou que o número de garotas na The Com está “explodindo.”
Arda Büyükkaya, analista sênior de inteligência de ameaças na EclecticIQ, com sede na UE, também observou que alguns chamadores estão utilizando sistemas de IA que alteram suas vozes para imitar um sotaque regional ou outras características, como uma mulher “com um tom neutro” que oferece cortesia, como “tome seu tempo,” o que também diminui suspeitas.
A engenharia social está repleta de pressupostos de gênero, afirmou Karl Sigler, gerente sênior de segurança da Trustwave SpiderLabs. Homens tendem a se apoiar em suas posições de autoridade como um executivo sênior ou até mesmo um CFO ou CEO, enquanto mulheres adotam a tática de estar em estado de desespero.
“Mulheres tendem a ser mais bem-sucedidas na engenharia social porque, francamente, somos subestimadas,” disse Moussouris, da Luta Security. “Isso é verdade, seja tentando se fazer passar por alguém por voz ou presencialmente. Mulheres não são vistas como uma ameaça pela maioria e vimos isso acontecer em testes em organizações onde mulheres podem ter sucesso ao entrar e homens não.”
Na observação de Nixon, a The Com acha que jovens mulheres são úteis “para fins de engenharia social, e também são úteis para eles para propósitos puramente sexuais.” Algumas garotas respondem a anúncios em espaços de jogos que especificam “somente garotas” e outras são vítimas de violência sexual online, comentou Nixon.
“As pessoas que dirigem esses grupos ainda são quase todas masculinas e muito sexistas,” declarou Nixon. “As garotas podem estar fazendo o trabalho de baixo nível, mas não receberão mais do que o mínimo necessário para saber. O conhecimento é poder nesses grupos, e o mentorado não é concedido às garotas.”
Muitos envolvidos parecem estar à procura de dinheiro, notoriedade dentro do grupo, de um sentimento de pertencimento e da adrenalina e emoção de um ataque bem-sucedido, afirmaram os especialistas.
Linares, conhecido como o hacker mais jovem preso no Arizona aos 14 anos, disse que a comunidade de hackers que ele se juntou quando adolescente se tornou mais próxima dele do que seus membros familiares reais na época. Se tivesse nascido nesta era, Linares afirmou que “absolutamente” poderia se ver atraído por esse tipo de crime e pelo potencial de lucro. Desde que compartilhou sua história em um podcast durante o verão, ele ouviu de crianças que estão envolvidas em crimes cibernéticos e os aconselha a participar de programas legais de recompensa por bugs. Muitos lhe contaram que também são autistas—um diagnóstico que Linares só obteve quando tinha bem mais de 30 anos.
“Muitas dessas crianças vêm de lares desfeitos, pais alcoolistas, e estão em um caminho de uso de drogas também,” disse Linares. “A vida é difícil e eles estão apenas procurando um caminho através disso.”
No entanto, há mais no quadro. Marcus Hutchins, um pesquisador em segurança cibernética que parou a famosa ataque global ransomware WannaCry e que anteriormente enfrentou acusações federais relacionadas ao malware que criou quando era adolescente, disse que aprendeu que muitas crianças envolvidas vêm de estruturas estáveis com figuras parentais apoiadoras.
“Muitas dessas crianças são privilegiadas, vêm de famílias amorosas e ainda assim acabam se envolvendo nisso,” disse Hutchins. “Como é que alguém que tem tudo a seu favor decide que vai atacar uma empresa que certamente vai insistir que eles vão para a prisão?”
De acordo com Kaiser, que após deixar o FBI se juntou à empresa de segurança cibernética Halcyon, a complexidade reside no fato de que os crimes estão ocorrendo online e em segredo. E na grande tradição de pais não entenderem a gíria dos filhos, muitos pais frequentemente acham as mensagens incompreensíveis, o que não é incomum, observou Nixon.
Apesar da tendência natural de subestimar as habilidades das crianças ou sempre ver o melhor nelas como pais, Kaiser afirmou que os pais precisam proteger os filhos—e pode ser necessário ficar desconfortável em monitorar seu comportamento online. Mesmo com seu histórico como uma alta funcionária cibernética do FBI, Kaiser disse que ainda enfrenta dificuldades como mãe.
“Eu era a diretora adjunta da Divisão Cibernética do FBI, e ainda assim não acho que sei como proteger totalmente os dispositivos dos meus filhos,” disse ela. “Se meu filho estivesse agindo de maneira imprudente na rua, eu receberia uma mensagem. Não estamos recebendo esses alertas como pais, e isso torna tudo muito difícil.”
A Fortune entrou em contato com todas as empresas mencionadas neste artigo para um comentário. Algumas declinaram comentar e outras não puderam se pronunciar diretamente devido a investigações em andamento. Outras ressaltaram seu compromisso com a forte segurança cibernética e que neutralizaram rapidamente as ameaças aos seus sistemas.
