
Pesquisa da Unit 42 mostra que atacantes registram endereços inventados por modelos de linguagem antes da defesa reagir, herdando confiança de desenvolvedores e assistentes automatizados.
| Componente | Ecossistema de links gerados por modelos de linguagem grande (LLM), registros DNS de domínios inexistentes, páginas de phishing, kits de fraude e aplicativos Android maliciosos |
| Vetor | Registro antecipado de domínios fabricados por alucinação de IA, explorando a confiança em URLs devolvidas por assistentes e agentes sem verificação prévia |
| Impacto | Redirecionamento de vítimas a páginas fraudulentas e distribuição de malware; coleta observada de dados de cartão, transferências bancárias, documentos de identidade nacional e aprovação manual de OTP via bot |
| Prioridade | Validar manualmente domínios oficiais antes de autenticação ou integração; monitorar registros de domínios previstos por modelos; bloquear abertura automática de links gerados por IA em agentes |
| Artefatos | Kit de phishing Montana Empire; campanhas relacionadas a slopsquatting e PhantomRaven (126 pacotes npm, mais de 86.000 instalações); kits comerciais Lucid e Lighthouse |
| IoCs | Mais de 13.229 links já classificados como maliciosos em amostra de 2,1 milhões; cerca de 250.000 domínios inventados sem proprietário registrado no momento da análise |
A técnica denominada phantom squatting consiste em registrar domínios que modelos de linguagem grande inventam ao responder perguntas sobre marcas conhecidas, antes que qualquer legítimo o faça, e hospedar nesses endereços páginas de phishing ou vetores de malware. A abordagem explora um deslocamento de confiança: desenvolvedores, equipes de segurança e agentes automatizados passaram a tratar links devolvidos por IA como referências válidas, sem a etapa tradicional de engenharia social por e-mail ou anúncio malicioso.
Em pesquisa publicada pela Unit 42, dois modelos de IA receberam 685.339 perguntas envolvendo 913 marcas amplamente reconhecidas em setores como tecnologia, finanças, saúde, governo e apostas. A saída totalizou 2,1 milhões de links. Dessa massa, inteligência de ameaças já havia marcado 13.229 endereços como claramente maliciosos, ou seja, a própria IA estava recomendando URLs já conhecidas como ruins. Aproximadamente 250.000 domínios inventados não tinham proprietário registrado na época da medição, cada um representando uma janela em que o primeiro registrante herda o tráfego induzido pela ferramenta.
O mecanismo ganha eficácia porque domínios recém-criados não possuem reputação negativa acumulada. Listas de bloqueio, feeds de ameaça e sistemas de pontuação de confiança dependem de comportamento observado ao longo do tempo; um endereço novo não oferece sinal suficiente para filtragem imediata. Enquanto a defesa atualiza indicadores, a vítima pode já ter sido encaminhada por um assistente ou fluxo automatizado que ela considera confiável.
Os pesquisadores destacam que os domínios falsos não estavam presentes nos dados de treinamento dos modelos avaliados, pois ambos foram lançados antes da existência dos sites maliciosos reais correspondentes. As URLs emergem de padrões linguísticos internos, não de memorização direta. Esses padrões se repetem entre modelos distintos: a mesma pergunta frequentemente produz o mesmo domínio inventado, o que facilita a previsão de alvos por parte de atacantes. Elevar o parâmetro de criatividade do modelo aumentou o volume de domínios fabricados. A equipe caracteriza o vetor como exploração de uma propriedade estrutural das arquiteturas de LLM que permanece intrinsecamente não corrigível por patch isolado.
O ciclo operacional começa quando um usuário ou pipeline automatizado consulta um modelo sobre serviços, produtos ou portais de uma marca. O modelo responde com URLs plausíveis sintaticamente, porém inexistentes ou não oficiais. Um operador malicioso monitora esse espaço de nomes previsíveis, registra o domínio assim que identifica o padrão e pública conteúdo que imita a marca legítima.
O tráfego chega sem campanha de phishing clássica: a vítima segue um link que parece ter sido validado pela própria ferramenta de IA usada no fluxo de trabalho. Em um caso documentado em 8 de março de 2026, sistemas da Unit 42 previram que os modelos inventariam um domínio semelhante ao marketplace online de um serviço postal nacional. Ambos os modelos geraram esse endereço em todas as configurações de temperatura testadas, indicando tratamento consistente do site fictício como fato. Vinte e três dias depois, em 31 de março, um atacante registrou exatamente esse domínio e implantou um kit de phishing chamado Montana Empire.
O kit replicava a vitrine real em tempo quase real e coletava números de cartão, detalhes de transferência bancária e dados de documento de identidade nacional. Um bot no Telegram permitia ao operador aprovar manualmente códigos de uso único das vítimas. Evidências residuais em arquivos de projeto e registros de sessão indicaram que o próprio kit foi construído com auxílio de um assistente de codificação baseado em IA, fechando o loop: atacante e defensor chegaram ao mesmo domínio fabricado pelo mesmo tipo de ferramenta.
Em segundo incidente, a Unit 42 sinalizou um domínio alucinado ligado a serviço postal 51 dias antes do registro malicioso. O operador montou clone visual da marca, exibiu avaliação falsa de 4,8 estrelas, alegou mais de dois milhões de usuários e usou a página para impulsionar um aplicativo Android malicioso. Outros domínios detectados imitaram um grande banco dos Emirados Árabes Unidos já abusado por quase um ano, um banco europeu e sites de apostas voltados a usuários em Bangladesh.
Phantom squatting aparece como variante orientada a DNS do fenômeno conhecido como slopsquatting, em que atacantes registram nomes de pacotes de software inventados por ferramentas de codificação assistida por IA. Um estudo USENIX citado na pesquisa documentou que modelos geradores de código sugerem rotineiramente pacotes inexistentes; a campanha PhantomRaven converteu esse comportamento em malware distribuído em 126 pacotes npm com mais de 86.000 instalações. O padrão mais amplo é a transformação da saída do modelo em entrada operacional: links e nomes passam direto para código, pipelines e decisões de segurança sem verificação intermediária.
A superfície não se limita a um setor. A amostra da pesquisa cobriu marcas de tecnologia, serviços financeiros, saúde, governo, jogos de azar e outros segmentos, totalizando 913 marcas conhecidas. Qualquer fluxo que incorpore links de LLM sem validação de domínio oficial fica exposto.
Usuários finais que autenticam em páginas sugeridas por assistentes correm risco de entrega de credenciais e dados de pagamento. Desenvolvedores e agentes de software que consomem URLs ou nomes de pacotes gerados por modelo podem integrar dependências ou endpoints controlados por terceiros. Equipes de threat intelligence enfrentam janelas de dias ou semanas entre a previsão do domínio alucinado e o registro efetivo, período em que a detecção por reputação tradicional permanece cega.
- Desenvolvedores e pipelines de IA que tratam respostas do modelo como autoritativas
- Organizações cujas marcas são frequentemente consultadas a modelos de linguagem
- Usuários de serviços postais, bancários e de apostas citados nos casos observados
- Consumidores de pacotes sugeridos por modelos de código, no paralelo com slopsquatting
- Ecossistema amplo de phishing por impersonação de marca, incluindo kits comerciais que já operaram milhares de domínios falsos em dezenas de países
A consistência intermodelo da alucinação transforma caça proativa em exercício de previsão. Equipes com acesso a consultas internas ou telemetria de assistentes corporativos podem mapear quais domínios um modelo tende a fabricar para marcas críticas e cruzar essa lista com registros DNS recentes, certificados TLS emitidos e resoluções passivas. A pesquisa indica que esse monitoramento pode anteceder o registro malicioso em intervalos de semanas.
Indicadores de comprometimento em endpoints e navegadores devem incluir visitas a domínios jovens acessados imediatamente após sessões com ferramentas de IA, especialmente quando o hostname imita serviços financeiros, postais ou de apostas. Em incidentes de kit, sobras de arquivos de projeto, logs de sessão e integrações com bots de mensageria para aprovação de OTP manual sinalizam operação fraudulenta sofisticada. No lado de supply chain, auditorias de dependências devem verificar se nomes de pacotes sugeridos por copilotos existem em registros oficiais antes da instalação.
- Correlação entre consultas a LLM e navegação subsequente para domínios recém-registrados sem reputação
- Aparição repetida do mesmo hostname inventado por modelos distintos para a mesma entidade consultada
- Registros DNS de domínios previstos dias ou semanas antes de conteúdo malicioso ativo
- Tráfego para clones de marketplace postal ou bancário com coleta de cartão, transferência e documento nacional
- Instalações originadas de páginas com avaliações e métricas de usuários fabricadas, como no caso do aplicativo Android malicioso
- Surgimento de pacotes npm ou equivalentes cujos nomes coincidem com sugestões alucinadas por ferramentas de código
A mitigação combina desconfiança operacional estrutural com monitoramento antecipado. Nenhum link ou nome de pacote devolvido por modelo deve atravessar perímetros de produção, autenticação ou instalação sem confirmação contra canais oficiais da organização proprietária da marca ou do registro de software.
Agentes automatizados amplificam o risco porque não hesitam da mesma forma que um analista humano. Políticas devem impedir abertura, download ou incorporação automática de recursos apontados exclusivamente por saída generativa, exigindo validação de domínio raiz, certificado, lista allowlist corporativa ou consulta a threat intelligence em tempo real.
Para marcas alvo de impersonação, programas de defesa de marca podem incorporar listas de domínios previstos por modelos internos ou por reprodução controlada de perguntas frequentes dos usuários. Quando a pesquisa demonstra janelas de 23 a 51 dias entre previsão e abuso, esse lead time deve alimentar alertas de registro preventivo ou bloqueio em resolvers corporativos assim que o domínio for criado.
A lição estratégica é de corrida: modelos reduzem o tempo disponível para reação defensiva, enquanto atacantes e kits comerciais de phishing escalam a criação de infraestrutura falsa em escala global. Tratar toda saída de IA como rascunho não verificado, e não como autoridade, fecha a brecha de confiança que phantom squatting explora.
- Confirmar domínio oficial da organização antes de digitar credenciais ou embutir URL em código
- Bloquear em agentes a navegação e o download automáticos a partir de links gerados por modelo
- Executar monitoramento de registros para domínios alucinados previsíveis associados a marcas críticas
- Validar existência e procedência de pacotes de software antes de adicioná-los a lockfiles ou pipelines
- Integrar verificação de reputação e idade de domínio em proxies, DNS corporativo e gateways web
- Revisar telemetria de kits de phishing que replicam vitrines em tempo real e usam aprovação manual de OTP
0 Comentários