Um surto global do backdoor XWorm dobrou o percentual de computadores industriais com worms bloqueados no quarto trimestre de 2025, segundo relatório do Kaspersky ICS CERT publicado em abril de 2026. A ameaça se propagou por campanhas de phishing disfarçadas de currículos, atingindo sistemas de controle industrial em todas as regiões do mundo e expondo a crescente vulnerabilidade de ambientes OT à engenharia social corporativa.
O quarto trimestre de 2025 marcou uma virada preocupante na segurança de sistemas industriais. O backdoor XWorm se espalhou de forma silenciosa por infraestruturas críticas ao redor do mundo, usando e-mails de phishing como porta de entrada. O resultado, o percentual de computadores ICS com worms bloqueados aumentou 1,6 vez, atingindo 1,60%, uma elevação que, em ambientes industriais, pode ter consequências irreversíveis.
Como o XWorm invadiu sistemas industriais via currículo falso
A estratégia dos atacantes foi cirúrgica. Eles enviaram e-mails disfarçados de candidaturas de emprego para gerentes de RH e recrutadores de empresas industriais. A campanha, identificada como ‘Curriculum-vitae-catalina’, continha arquivos executáveis maliciosos em vez de currículos reais.
Ao abrir o anexo, a vítima instalava o XWorm sem perceber. O malware estabelecia um canal de controle remoto persistente, permitindo que os atacantes se movessem lateralmente pela rede corporativa até alcançar sistemas de automação industrial.
Duas ondas de ataques concentradas em outubro e novembro de 2025 foram suficientes para elevar os indicadores de infecção em todas as regiões monitoradas pelo Kaspersky ICS CERT. O dado mais revelador: o XWorm não havia sido detectado em computadores ICS no trimestre anterior. Sua chegada foi repentina e global.
Os números que preocupam líderes de TI industrial
O relatório do Kaspersky ICS CERT, publicado em 2 de abril de 2026, reúne dados que todo executivo de segurança precisa conhecer. O maior salto regional foi na Europa do Sul, onde o percentual de sistemas ICS afetados cresceu 2,16 vezes. Na África, a situação foi ainda mais crítica, além da distribuição por e-mail, o XWorm se propagou por dispositivos USB, indicando vetores múltiplos de infecção.
Regionalmente, o percentual de ICS com worms bloqueados variou de 0,32% no Norte da Europa a expressivos 3,72% na África. A amplitude desses números reflete disparidades de maturidade em segurança cibernética industrial entre diferentes partes do mundo.
No mesmo período, as soluções Kaspersky bloquearam malware de 10.142 famílias diferentes em sistemas de automação industrial. Spyware afetou 3,80% dos computadores ICS. Ransomware chegou a 0,16%. O percentual geral de sistemas ICS com objetos maliciosos bloqueados foi de 19,7%, uma queda em relação aos trimestres anteriores, mas ainda representativa diante da criticidade desses ambientes.
Entre todas as categorias monitoradas, apenas duas cresceram no Q4 2025, worms transmitidos por e-mail e mineradores em formato de executável Windows. Todas as demais categorias de ameaça recuaram. Isso torna o surto do XWorm ainda mais saliente no cenário geral.
Por que ambientes OT estão mais vulneráveis do que nunca
A convergência entre redes corporativas de TI e ambientes operacionais de OT criou uma superfície de ataque que muitas organizações ainda subestimam. Historicamente, sistemas ICS e SCADA operavam em redes isoladas. Hoje, essa separação é cada vez mais rara.
O XWorm explorou exatamente essa brecha. Uma campanha de phishing direcionada a profissionais de RH, que geralmente não estão na linha de frente da segurança cibernética industrial, foi suficiente para comprometer sistemas que controlam processos físicos em energia, manufatura, petróleo e gás, transporte e tratamento de água.
A nova técnica de ofuscação usada pelo malware dificultou ainda mais a detecção por soluções de segurança nos sistemas industriais. Isso significa que os ataques permaneceram ativos por mais tempo antes de serem identificados, ampliando o potencial de dano.
O cenário externo também pressiona. Segundo a Cyble Research & Intelligence Labs, as divulgações de vulnerabilidades em sistemas ICS quase dobraram entre 2024 e 2025. Mais falhas conhecidas, combinadas com ferramentas de ataque mais sofisticadas, formam uma equação desfavorável para as equipes de defesa.
O percentual de ameaças vindas de clientes de e-mail em ICS chegou a 2,76% no Q4 2025, levemente acima do mínimo histórico de 2,72% registrado no Q4 2024. O número pode parecer pequeno, mas em infraestruturas críticas, cada ponto percentual representa sistemas físicos reais que podem ser comprometidos.
O que os executivos de segurança industrial precisam fazer agora
O surto do XWorm no Q4 2025 entrega uma mensagem clara, a engenharia social está cruzando a fronteira entre o mundo corporativo e o chão de fábrica. As defesas precisam acompanhar essa realidade.
Segmentação rigorosa entre redes IT e OT continua sendo a primeira linha de defesa. Mesmo que um endpoint corporativo seja comprometido, barreiras bem configuradas podem impedir que o malware alcance os sistemas de automação industrial.
Treinamento anti-phishing para operadores industriais deixou de ser opcional. A campanha ‘Curriculum-vitae-catalina’ não mirou engenheiros de controle, mirou profissionais de RH que acessam sistemas conectados às redes industriais. Todo ponto de entrada é um vetor em potencial.
Políticas de controle de mídia removível precisam ser revisadas com urgência, especialmente em operações na África e na Ásia Central, onde os índices de infecção são mais elevados e a propagação via USB foi documentada.
Monitoramento específico para ambientes OT, com soluções capazes de identificar comportamentos anômalos em protocolos industriais, não pode ser tratado como extensão da segurança corporativa tradicional. Ele exige ferramentas, processos e equipes dedicadas.
O XWorm não é uma ameaça nova. Mas sua capacidade de se reinventar, escalar globalmente em duas ondas e penetrar ambientes industriais historicamente protegidos mostra que os atacantes estão evoluindo mais rápido do que muitas defesas industriais conseguem acompanhar.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!