Hackers estão distribuindo uma versão modificada do ChatGPT Desktop App contendo o backdoor Pipemagic, usado para preparar ataques de ransomware, segundo a Microsoft. O malware foi vinculado ao grupo Storm-2460, que já explorou a vulnerabilidade CVE-2025-29824, um zero-day no Windows Common Log File System Driver (CFLS).
Leia também
Saúde aposta em GenAI sem investir em segurança
Ataque a embaixadas em Moscou usa falso antivírus Kaspersky
A Microsoft afirmou que o grupo direciona ataques contra setores de tecnologia, financeiro e imobiliário nos Estados Unidos, Europa, América do Sul e Oriente Médio. Embora o número de vítimas ainda seja limitado, a combinação de exploração zero-day e uso de um backdoor modular torna a ameaça altamente crítica.
Relatórios da Kaspersky confirmam a campanha, destacando que o app falso de ChatGPT foi usado como isca para implantar o Pipemagic em alvos na Ásia e Arábia Saudita. O malware possibilita roubo de informações sensíveis, acesso remoto e implantação de ransomware. Ele já havia sido observado em 2022, com um ressurgimento em setembro de 2024.
Pesquisadores da ESET identificaram o CVE-2025-29824 em março, ressaltando que o driver CLFS tem histórico de exploração por gangues de ransomware. Já a Symantec informou em maio que grupos ligados ao Ransomexx também exploraram a mesma falha.
O backdoor é executado a partir de uma versão alterada do projeto de código aberto do ChatGPT no GitHub, que contém código malicioso para descriptografar e carregar a payload. Após a execução, os atacantes usam a falha do CLFS para escalar privilégios e, em seguida, lançar ransomware.