Você baixou aquele mod de Minecraft que todo mundo tá usando? Talvez não devesse. Cibercriminosos estão distribuindo um Python RAT, trojan de acesso remoto, disfarçado de “Nursultan Client”. O ataque se esconde por trás de uma versão crackeada e popular de Minecraft entre jogadores russos e da Europa Oriental.

A diferença entre baixar a versão real e o malware? Uma pode te custar sua conta do Discord, acesso à sua webcam e o controle total do seu computador.

A descoberta é da Netskope, que identificou a ameaça durante atividades de threat hunting. O esquema é simples: depois de infectar o sistema, os criminosos usam o Telegram como canal de comando e controle. De lá, podem tirar screenshots da tela, ativar a webcam, abrir sites no navegador e vasculhar arquivos em busca de tokens do Discord.

“Nursultan Client” é a isca perfeita para gamers

O executável foi criado com PyInstaller — uma ferramenta legítima que transforma scripts Python em programas executáveis, mas que virou queridinha de criadores de malware. O arquivo tem 68.5 MB, um tamanho inflacionado que não é acidental: alguns sistemas de segurança simplesmente ignoram ou escaneiam parcialmente arquivos muito grandes, deixando a porta aberta para a infecção.

• Leia também: Instagram agora ‘dedura’ os Reels que você curte; veja como evitar

“Usar o nome de um cliente conhecido de Minecraft é uma tática clara de engenharia social para enganar vítimas, especialmente gamers”, explica Nikhil Hegde, engenheiro sênior de software da Netskope. A escolha do Nursultan Client não foi aleatória. Os criminosos sabem que gamers vivem baixando mods, cheats e clientes alternativos e usam essa confiança como porta de entrada.

Isso marca mais um capítulo de uma história que se repete. Grupos criminosos têm atacado a comunidade gamer há anos, injetando malware em modificações de jogos, programas de trapaça e ferramentas customizadas. A diferença aqui está na sofisticação: o malware combina vigilância, roubo de dados e recursos de adware numa única ferramenta. É o canivete suíço do crime digital.

A farsa da “instalação”

Quando você executa o arquivo, tudo parece normal. Uma barra de progresso aparece na tela com mensagens de “instalando Nursultan Client”, convencendo você de que está tudo certo. Enquanto isso, nos bastidores, o programa tenta se adicionar à inicialização automática do Windows, criando uma chave de registro com o mesmo nome do cliente legítimo.

Mas aqui fica interessante – o mecanismo de persistência tem falhas graves. O código foi claramente escrito para rodar como script Python puro e não foi adaptado corretamente para a versão compilada.

Quando o PyInstaller cria um executável “onefile”, ele usa um diretório temporário que é deletado assim que o programa fecha. Traduzindo: o malware provavelmente não sobrevive a uma reinicialização do sistema.

Essa falha técnica revela algo importante sobre o autor. Ele não é um cibercriminoso de elite. Domina o suficiente para montar uma ferramenta perigosa a partir de bibliotecas prontas, mas comete erros básicos que desenvolvedores mais experientes evitariam. Mas não se engane, a falha na persistência não torna o malware menos perigoso.

• Leia também: Câmara Municipal de Joinville aprova uso da Bíblia como material complementar em escolas

Telegram: onde os criminosos se sentem em casa

O malware vem com um token de bot do Telegram já configurado e uma lista de IDs de usuários autorizados, garantindo que apenas o atacante possa dar ordens à máquina infectada. Para os criminosos, o Telegram é perfeito.

Ele é um serviço legítimo usado por milhões de pessoas, oferece comunicação criptografada, tem uma API de bots extremamente fácil de usar e, melhor ainda, é gratuito. Não é preciso manter servidores próprios ou se preocupar com infraestrutura — tudo acontece através de uma plataforma que parece completamente normal para sistemas de segurança.

Discord: o verdadeiro alvo

O malware tem um foco claro: roubar tokens de autenticação do Discord. Esses tokens são o santo graal para criminosos porque funcionam como chaves-mestras: quem tem o token, tem acesso total à conta, sem precisar de senha ou autenticação de dois fatores.

O módulo de roubo é abrangente. Ele vasculha os arquivos locais de todas as versões do cliente Discord (estável, PTB e Canary) em busca de arquivos .ldb e .log onde os tokens ficam armazenados. Mas não para por aí, ele também escaneia os navegadores Chrome, Edge, Firefox, Opera e Brave, investigando tanto bancos de dados LevelDB quanto SQLite. Se você usa Discord em qualquer uma dessas plataformas, está vulnerável.

Com esses tokens em mãos, o atacante vira você no Discord. Pode enviar spam e phishing para todos os seus contatos, acessar servidores privados onde você participa, roubar conversas confidenciais, vender o acesso da sua conta no mercado negro ou usar ela em golpes de engenharia social. É um acesso VIP ao seu círculo de confiança — e você nem vai saber que perdeu o controle.

• Leia também: ‘O Agente Secreto’ é escolhido para representar o Brasil no Oscar 2026

Webcam ligada, tela gravada

O roubo de tokens é só o começo. O malware oferece um menu completo de recursos de vigilância, todos controlados remotamente via comandos do Telegram.

O comando /info coleta um perfil detalhado do sistema — nome do computador, usuário, versão do Windows, processador, memória, disco e endereços IP local e externo. O relatório é formatado em russo e traz a assinatura “by fifetka”, deixando clara a origem da ameaça.

O comando /tokens executa a varredura completa em busca dos tokens do Discord e envia tudo para o atacante em segundos.

Mas os comandos mais invasivos são outros dois: /screenshot captura a tela da vítima em tempo real e envia via Telegram. Qualquer coisa visível no momento, senhas sendo digitadas, conversas privadas, documentos confidenciais fica exposta. Já o /camera ativa a webcam e tira uma foto sem qualquer aviso visual. Pode ser usado para vigilância, chantagem ou simplesmente invadir a privacidade da vítima.

E tem mais: se o atacante enviar uma mensagem de texto, o malware verifica se é uma URL. Caso seja, abre automaticamente no navegador da vítima — perfeito para direcionar a páginas de phishing ou sites maliciosos. Se não for URL, exibe o texto numa janela pop-up.

Qualquer imagem enviada pelo atacante é baixada e aberta no visualizador padrão da vítima. Pode ser conteúdo chocante, faturas falsas ou qualquer tipo de manipulação psicológica. O atacante tem controle total sobre o que você vê na sua própria tela.

Crime como serviço: franchising do malware

A arquitetura do malware revela um modelo de negócio que está se tornando cada vez mais comum no submundo do cibercrime. O sistema de “usuários permitidos” funciona como um esquema simples de licenciamento: o autor muda apenas o ID do Telegram autorizado, recompila o executável e vende uma cópia personalizada para cada comprador.

É o conceito de Malware-as-a-Service (MaaS) em sua forma mais básica. Cada cliente recebe sua própria versão que só ele pode controlar, e o autor original não precisa se envolver nas operações. A assinatura “by fifetka” e o foco em gamers sugerem que o objetivo não é executar ataques diretamente, mas atrair outros criminosos de baixo nível dispostos a pagar pela ferramenta.

O relatório da Netskope aponta sinais claros desse modelo: o invasor controla o acesso ao bot por meio de um ID específico do Telegram e pode revender o mesmo malware para outros criminosos, criando uma rede de atacantes usando versões personalizadas simultaneamente. É o franchising do crime digital.

Por que essa ameaça é especialmente perigosa

Apesar das falhas técnicas, essa ameaça não deve ser subestimada. O malware é multiplataforma nas áreas mais críticas e a comunicação via Telegram e os recursos de vigilância funcionam em Windows, Linux e macOS. Apenas o roubo de tokens do Discord e a persistência são específicos do Windows, mas isso não diminui o alcance do ataque.

Para empresas, o uso do Telegram como canal de comando e controle representa um desafio extra. Como distinguir tráfego malicioso de uso legítimo quando ambos passam por um serviço de mensagens popular? Bloquear o Telegram inteiro não é uma opção viável para a maioria das organizações.

• Leia também: Calça saída de praia e piscina, tendência para primavera/Verão 2026

A resposta está em monitorar padrões de comportamento e chamadas de API incomuns — uma tarefa que exige ferramentas de segurança sofisticadas e equipes preparadas.

E tem outro fator: a facilidade de distribuição. Gamers compartilham mods e ferramentas em fóruns, grupos do Discord, canais do Telegram e servidores privados. Uma vez que o malware entra em circulação nesses ambientes, se espalha rapidamente. É um efeito dominó onde a confiança da comunidade vira a maior vulnerabilidade.

O que fazer para se proteger

A boa notícia é que a Netskope detecta essa ameaça através de sua proteção avançada contra ameaças, classificando-a como “QD:Trojan.GenericKDQ.F8A018F2A0″. Todos os indicadores de comprometimento e scripts relacionados estão disponíveis no repositório GitHub da empresa para quem quiser investigar mais a fundo.

Mas a melhor proteção ainda é o bom senso. Algumas regras básicas podem te salvar de muita dor de cabeça.

• Nunca baixe mods, clientes ou cheats de fontes não oficiais. Se não é do site oficial ou de uma fonte verificada pela comunidade, não vale o risco;
• Desconfie de arquivos muito grandes. Um cliente de Minecraft modificado não deveria ter 68.5 MB sem uma boa razão;
• Use autenticação de dois fatores em todas as contas — especialmente no Discord. Mesmo que roubem seu token, o atacante terá mais dificuldade de acessar outras coisas;
• Monitore processos em execução no gerenciador de tarefas. Se aparecer algo suspeito rodando em segundo plano, investigue;
• Mantenha um antivírus atualizado. Parece óbvio, mas muita gente negligencia essa camada básica de proteção.