A CrowdStrike divulgou o Relatório Global de Ameaças 2026, apontando que a Inteligência Artificial está acelerando a atuação de adversários e ampliando a superfície de ataque nas empresas. De acordo com o levantamento, o breakout time, tempo que o atacante leva para invadir o sistema, acessar dados e sair, caiu para 29 minutos em 2025. O caso mais rápido identificado ocorreu em apenas 27 segundos.
Segundo o relatório, ataques habilitados por IA cresceram 89% em relação ao ano anterior. A tecnologia tem sido utilizada para reconhecimento, roubo de credenciais legítimas e evasão de mecanismos de defesa, enquanto sistemas corporativos baseados em IA também passaram a ser alvo direto dos criminosos.
IA como vetor e alvo de ataques
O estudo mostra que adversários exploraram ferramentas legítimas de IA Generativa em mais de 90 organizações, injetando prompts maliciosos para gerar comandos voltados ao roubo de credenciais e criptomoedas. Plataformas de desenvolvimento de IA também foram exploradas para estabelecer persistência e implantar ransomware.
Além disso, servidores de IA maliciosos foram publicados se passando por serviços confiáveis com o objetivo de interceptar dados sensíveis. Nesse cenário, a IA atua simultaneamente como acelerador das ofensivas e como nova superfície de ataque.
Breakout time atinge menor nível já registrado
Com a aceleração promovida pela IA, o breakout time em ações de cibercrime caiu para 29 minutos, aumento de 65% na velocidade em relação a 2024. Em um dos casos analisados, a exfiltração de dados começou em menos de quatro minutos após o acesso inicial.
O relatório destaca que as invasões estão cada vez mais baseadas em identidades confiáveis, aplicações SaaS e infraestrutura de nuvem, dificultando a detecção ao se misturarem à atividade legítima.
Atores estatais ampliam uso de IA
Entre os grupos monitorados, o FANCY BEAR, vinculado à Rússia, utilizou malware habilitado por LLM chamado LAMEHUG para automatizar reconhecimento e coleta de documentos. Já o grupo PUNK SPIDER empregou scripts gerados por IA para acelerar extração de credenciais e apagar evidências forenses.
O grupo FAMOUS CHOLLIMA, associado à Coreia do Norte, utilizou personas geradas por IA para ampliar operações de ataque. O relatório também aponta que o grupo PRESSURE CHOLLIMA foi responsável pelo roubo de US$ 1,46 bilhão em criptomoedas, considerado o maior roubo financeiro único já relatado.
China, Coreia do Norte e avanço sobre nuvem
A atividade vinculada à China cresceu 38% em 2025, com destaque para o setor de logística, que registrou aumento de 85% no direcionamento. Entre as vulnerabilidades exploradas por atores ligados ao país, 67% permitiram acesso imediato ao sistema e 40% tinham como alvo dispositivos de borda expostos à internet.
Incidentes ligados à Coreia do Norte aumentaram mais de 130%, com a atividade do FAMOUS CHOLLIMA mais que dobrando.
O relatório ainda revela que 42% das vulnerabilidades foram exploradas antes da divulgação pública, caracterizando ataques de dia zero. As invasões focadas em ambientes de nuvem cresceram 37% no geral, com aumento de 266% em ataques conduzidos por atores vinculados a estados-nação.
“Esta é uma corrida armamentista de IA”, afirma Adam Meyers, chefe de operações contra adversários na CrowdStrike. “O tempo de avanço é o sinal mais claro de como as invasões mudaram. Os adversários estão se movendo do acesso inicial para o movimento lateral em minutos. A IA está comprimindo o tempo entre a intenção e a execução, ao mesmo tempo que transforma os sistemas de IA corporativos em alvos. As equipes de segurança precisam operar mais rápido que o adversário para vencer.”
