O relatório do Kaspersky ICS CERT, divulgado em 2 de abril de 2026, aponta que o quarto trimestre de 2025 registrou um aumento expressivo no uso do backdoor XWorm em redes de sistemas de controle industrial (ICS). A campanha, baseada em phishing que se disfarça de currículos, atingiu infraestruturas críticas em diversas regiões do mundo.
A campanha, identificada como Curriculum-vitae-catalina, operava com anexos executáveis no lugar de currículos. Ao abrir o anexo, a vítima instalava o XWorm, abrindo um canal de comando remoto persistente que permite aos atacantes se moverem lateralmente pela rede até alcançar sistemas de automação industrial.
No acumulado do Q4/2025, o percentual de computadores ICS com worms bloqueados subiu para 1,60% — um aumento de 1,6 vezes em relação ao trimestre anterior. Especialistas observam que, mesmo com esse ganho percentual, as consequências em ambientes industriais podem ser significativas devido à criticidade dos sistemas.
Ondas de ataque e alcance regional
Duas ondas de ataques, concentradas em outubro e novembro de 2025, impulsionaram as taxas em todas as regiões monitoradas. A Europa do Sul registrou o maior salto regional, com aumento superior a 2,16 vezes, enquanto a África apresentou variações acentuadas, com variação regional chegando a até 3,72% dos ICS afetados em áreas específicas.
Além do phishing, o XWorm também se propagou via dispositivos USB em alguns casos, evidenciando vetores de infecção múltiplos. Segundo o relatório, o XWorm não havia sido detectado nos ICS no trimestre anterior, surgindo de forma repentina e global no Q4/2025.
Panorama de ameaças e recomendações
As soluções Kaspersky bloquearam malware de 10.142 famílias diferentes em sistemas de automação industrial. Spyware afetou 3,80% dos computadores ICS, enquanto ransomware atingiu 0,16%. O percentual geral de ICS com objetos maliciosos bloqueados ficou em 19,7% nesse período.
Especialistas destacam que a convergência entre redes de TI e OT abriu uma superfície de ataque maior, tornando crucial a segmentação firme entre redes IT e OT. Além de treinamentos anti-phishing para operadores industriais, recomenda-se revisar políticas de uso de mídia removível e investir em monitoramento específico para OT, capaz de detectar comportamentos anômalos em protocolos industriais e ambientes de automação.
O caso do XWorm evidencia que ataques a ambientes OT continuam evoluindo, exigindo defesas mais adaptativas. Siga o Itshow no LinkedIn e assine a News para ficar por dentro das notícias de TI e Cibersegurança.
