O maior ataque hacker do sistema financeiro do Brasil, que resultou no desvio de mais de R$ 1 bilhão de contas de reserva de instituições financeiras mantidas no Banco Central (BC), no dia 30 de junho, pode ter envolvido o recrutamento de funcionários de instituições financeiras com credenciais acesso às tesourarias do BC, através de grupos do Telegram, segundo a ZenoX.

De acordo com o relatório da empresa de segurança cibernética, publicado pelo TecMundo, o dinheiro transferido da C&M Software, empresa que atua como ponte tecnológica entre o BC e outras instituições financeiras, não explorou qualquer falha técnica, brecha ou vulnerabilidade no sistema.

Na ocasião, a A C&M Software informou que os criminosos utilizaram credenciais de clientes de forma indevida para invadir o seu sistema, que disponibiliza APIs e acesso direto às mensagens do Pix, TED, DDA e outros arranjos do Sistema de Pagamentos Brasileiro (SPB), assegurando comunicação entre bancos, fintechs e o BC.

A análise da ZenoX, fundamentada em inteligência proprietária, a contesta as narrativas iniciais e aponta para um cenário mais complexo. Isso porque a investigação apontou indícios de que o ataque pode ter sido uma operação de fraude doméstica, facilitada por um insider, e não uma investida puramente externa. O que ficou comprovado na última semana, quando a polícia prendeu um funcionário da C&M Software, que afirmou ter vendido suas credenciais de acesso aos criminosos, segundo reportagem da Folha de São Paulo.

Aparentemente, houve um recrutamento ativo em canais abertos meses antes do incidente, com o objetivo de corromper funcionários bancários com acesso às tesourarias. As mensagens indicavam planos explícitos para executar operações no Bacen (Banco Central) que poderiam atingir o valor de R$ 1 bilhão”, observou a ZenoX.

A empresa disse ainda que “este não foi um evento isolado, mas a culminação de uma série de ataques de menor escala que, ao longo do tempo, vinham explorando a mesma fragilidade processual em contas reserva em diversas instituições financeiras no Brasil”.

A ZenoX deixou claro que não é possível confirmar a ligação direta entre essas mensagens compartilhadas em grupos do Telegram e o incidente envolvendo a C&M Software. Porém, a empresa frisou que, “mesmo na ausência de uma conexão comprovada com o caso, o fato de agentes suspeitos, atuando em grupos voltados à fraude, estarem recrutando para operações supostamente direcionadas ao Bacen — com expectativas explícitas de movimentações bilionárias — configura, no mínimo, uma coincidência significativa”.

A investigação ressaltou que, “em canais abertos do Telegram monitorados pela Vydar Intelligence, já em maio de 2025, foram identificados agentes de ameaça conduzindo um recrutamento explícito e alarmante:

  • Busca por insiders em posições-chave: Os recrutadores procuravam abertamente por “gerentes bancários de grandes bancos físicos com acesso direto às contas da tesouraria”. • Capacidade operacional definida: O objetivo era claro, realizar transferências (TEDs) de valores extremamente elevados, “a partir de R$ 50 milhões” e “capacidade de até R$ 1 bilhão”.

  • Conexão com o Banco Central: Em tom ainda mais ousado, os recrutadores demonstravam “interesse em trabalhos diretamente ligados ao pessoal do Banco Central (Bacen)” e prometiam uma “operação rápida e discreta junto com o pessoal do Bacen”.

  • Ofertas de pagamento milionárias: A proposta para corromper os insiders era direta e agressiva: “Pagamento 30 milhões. Exemplo: 5 milhões pro intermediário e 25 milhões pro gerente”.

Recomendações e conclusão

No que se refere às recomendações, o documento destacou que “será análise deste incidente deixa claro que a prevenção de um futuro ataque de escala semelhante não virá de soluções paliativas ou de um reforço isolado nas defesas técnicas”.

Será necessário repensar de forma estrutural a maneira como o ecossistema financeiro brasileiro trata a segurança”, disse a empresa.

Em relação à prevenção de novos ataques, a Zenox elencou três pilares estratégicos: Adoção de Inteligência de Ameaças Acionável (CTI); Gestão de Risco da Cadeia de Suprimentos; Criação de um Ecossistema de Inteligência Colaborativa. Isso porque o “relatório da ZenoX demonstrou, o colapso não se deu por uma única vulnerabilidade de software, mas pela confluência de falhas sistêmicas que, juntas, criaram a tempestade perfeita”. Nesse caso, a empresa salientou que:

  1. A surdez estratégica a um submundo da fraude que supostamente planejava abertamente o ataque.

  2. A confiança cega em uma cadeia de suprimentos digital, tratando parceiros críticos como caixas-pretas seguras, em vez de extensões do próprio perímetro de risco.

  3. A cultura do silêncio, que isola as vítimas e permite que os criminosos reutilizem e refinem suas táticas livremente, atacando um alvo após o outro.

  4. A ausência de um cérebro de inteligência centralizado, capaz de conectar os pontos entre ataques menores e o planejamento de um golpe maior, transformando dados dispersos em um alerta preditivo.

O incidente de 30 de junho deve servir como o catalisador definitivo para uma mudança de paradigma. A segurança do sistema financeiro brasileiro não depende mais apenas da robustez de seus sistemas individuais, mas da sua capacidade coletiva de antecipar, colaborar e responder com base em uma inteligência de ameaças compartilhada e de alta fidelidade”, concluiu o relatório.

Conforme noticiado pelo Cointelegraph Brasil, parte dos fundos desviados foi direcionada para exchanges, gateways e plataformas de negociação vinculadas ao Pix e a mesas de negociação de balcão (OTC) para aquisição de Bitcoin (BTC) e USDT, stablecoin atrelada ao dólar.