Ex-membros do grupo de ransomware Black Basta estão usando novas estratégias para manter ataques ativos em 2025, mesmo após o declínio da operação original. Segundo a ReliaQuest, os cibercriminosos continuam a explorar phishing via Microsoft Teams e bombardeio de e-mails, combinando agora essas técnicas com execução de scripts em Python por meio de comandos cURL, utilizados para baixar cargas maliciosas.

De fevereiro a maio deste ano, cerca de 50% dos ataques de phishing pelo Teams se originaram de domínios onmicrosoft[.]com, enquanto 42% vinham de domínios previamente comprometidos tornando o tráfego mais difícil de identificar como malicioso. Os atacantes têm se passado por equipe de suporte para enganar usuários e obter acesso inicial, posteriormente explorando ferramentas como Quick Assist e AnyDesk para acesso remoto, e executando scripts Python para estabelecer comunicação com servidores de comando e controle (C2).

A ReliaQuest acredita que ex-afiliados da Black Basta migraram para o grupo CACTUS RaaS, conforme sugerem conversas vazadas em fevereiro. Entretanto, como o CACTUS está inativo desde março, há indícios de que parte dos criminosos tenha migrado para os grupos BlackLock ou BlackSuit, que vêm utilizando táticas semelhantes.

Além disso, uma nova versão de malware Java baseada em RAT vem sendo usada, abusando de serviços como Google Drive, Google Sheets e OneDrive para ocultar comandos. Esse malware pode roubar credenciais de navegadores, apresentar janelas falsas de login e abrir túneis SOCKS5. Os invasores também utilizam a ferramenta QDoor, backdoor previamente atribuído ao BlackSuit, e um RAT Python conhecido como Anubis, além de cargas escritas em Rust.