Malware PipeMagic ataca empresas brasileiras pelo ChatGPT e brecha no Microsoft Windows
Ataque funciona como ferramenta de acesso remoto com todos os recursos ou como um proxy de rede para execução de comandos.
O malware PipeMagic, identificado pela primeira vez em 2022, voltou a ser detectado em novas campanhas de ataque em 2025 e atingiu, pela primeira vez, organizações brasileiras. A ameaça foi analisada pela Kaspersky em parceria com a equipe de pesquisa da BI.ZONE, que identificaram a exploração ativa da falha CVE-2025-29824, corrigida pela Microsoft em abril deste ano.
Segundo a Microsoft, entre as 121 vulnerabilidades corrigidas naquele mês, apenas essa estava sendo usada em ataques reais no momento da atualização. O exploit foi incorporado ao PipeMagic, backdoor originalmente associado a uma campanha de ransomware RansomExx no Sudeste Asiático em 2022. Em 2024, o mesmo malware voltou a aparecer em ofensivas contra organizações do Oriente Médio, desta vez disfarçado em aplicativos falsos do ChatGPT.
Ou seja, além da exploração técnica, os criminosos também recorreram a aplicativos falsos do ChatGPT como isca, repetindo a tática usada em ataques contra organizações da Arábia Saudita em 2024. Esses programas, desenvolvidos em Rust com os frameworks Tokio e Tauri, simulam ser clientes legítimos da ferramenta de inteligência artificial, mas, ao serem executados, instalam o PipeMagic nos dispositivos.
Em 2025, os pesquisadores confirmaram que os operadores do PipeMagic expandiram suas atividades para o Brasil, utilizando novas técnicas de infecção, incluindo arquivos de índice de Ajuda da Microsoft modificados e a tática de “DLL hijacking”, que explora bibliotecas maliciosas carregadas junto a aplicativos legítimos, como o atualizador do Google Chrome.
Uma das características do malware é a criação de “pipes” nomeados para comunicação interna e a utilização de conexões locais na porta 8082. Os ataques também incluíram módulos adicionais capazes de realizar operações assíncronas de entrada e saída, manipulação de arquivos e injeção de payloads em sistemas Windows de 32 e 64 bits.
Após comprometer um dispositivo, o PipeMagic permite movimentação lateral nas redes corporativas e a extração de credenciais de contas, inclusive com o uso da ferramenta ProcDump, renomeada como dllhost.exe, para capturar a memória do processo LSASS – técnica semelhante à descrita pela própria Microsoft em alertas recentes.
