Phantom Squatting: Como alucinações de IA estão criando novos riscos na cadeia de suprimentos
Aprofundamento CEVIU
Aprofundamento
O Phantom Squatting não é um novo tipo de domínio ou ferramenta, é um padrão de exploração que transforma as alucinações de LLMs em alvos operacionais. A Unit 42 identificou que, ao responder perguntas sobre marcas reais, dois LLMs (um 'mini-class' lançado em abril de 2025 e um 'lite-class' de junho de 2025) geraram 2,1 milhões de URLs fictícias. Dessas, 13.229 já foram registradas por criminosos e apontam para infraestrutura maliciosa. As outras 250 mil são domínios fantasmas ainda não registrados, mas com alto potencial de serem ocupados a qualquer momento, pois seguem padrões linguísticos consistentes entre modelos (cross-model hallucination consensus) e persistem mesmo em configurações de baixa temperatura (THP). Isso significa que o risco não está no acaso: está na previsibilidade da falha.
O ataque opera como uma extensão da cadeia de suprimentos de software, mas com um elo crítico novo: o LLM passa a funcionar como dependência confiável, e vulnerável, dentro de pipelines CI/CD, assistências de código e até agentes autônomos que fazem requisições HTTP sem validação. Diferente do slopsquatting (que ataca nomes de pacotes), o Phantom Squatting ataca a infraestrutura web diretamente, usando a autoridade percebida da IA para entregar phishing, malvertising ou exfiltração de dados sem precisar de e-mail ou link suspeito.
O que mudou
Em fevereiro de 2026, a CEVIU já alertava sobre o 'raio de impacto' das credenciais roubadas alimentando agentes de IA artigo original. Em abril, a vulnerabilidade GrafanaGhost mostrou como URLs manipuladas podem contornar políticas de carregamento em ferramentas com IA embutida. Em junho, o marketplace de skills do OpenClaw revelou que skills maliciosas estavam passando por triagens automatizadas, ou seja, a confiança em processos técnicos de verificação já estava sendo explorada. Agora, com o Phantom Squatting, o salto é claro: não é mais só sobre credenciais ou skills falsas. É sobre a própria saída textual do modelo ser usada como vetor de ataque direto, com registro antecipado de domínios e implantação de kits de phishing em menos de 24 horas após o domínio ser registrado, como no caso do Montana Empire, que foi implantado 23 dias depois da primeira alucinação detectada pela Unit 42.
Por que isso importa
Empresas que confiam em LLMs para gerar endpoints, documentação ou integrações estão expostas a um bypass estrutural de defesas tradicionais. Filtragem de URL e DNS Security baseadas em reputação falham porque o domínio nasce limpo, sem histórico, sem bloqueio, sem sinais de ameaça. Não há necessidade de enganar o usuário com um e-mail falso: basta que o assistente de código recomende api.payments-secure[.]io, um domínio que nunca existiu, mas que um criminoso já registrou e preparou para capturar tokens de API. Isso coloca a gestão de vulnerabilidades em um novo patamar: agora é preciso monitorar não apenas o que entra no sistema, mas o que sai dele, especialmente URLs geradas por IA.
Linha do tempo
CEVIU reporta aumento no roubo de credenciais do ChatGPT, que alimentam agentes de IA maliciosos
Pesquisadores demonstram vazamento de dados sensíveis via consultas DNS manipuladas em LLMs
Divulgação da vulnerabilidade GrafanaGhost, que explora URLs relativas em componentes de IA do Grafana
CEVIU destaca exposição de mais de 1 milhão de serviços de IA com configurações padrão fracas
Unit 42 documenta skills maliciosas no marketplace do OpenClaw que passam por triagens automatizadas
Ataque em navegadores baseados em IA mostra que 'lógica de fantasia' pode desativar guardrails de segurança
Unit 42 divulga Phantom Squatting: alucinações de LLMs estão sendo registradas por criminosos para ataques na cadeia de suprimentos
Perguntas frequentes
O que é exatamente um 'phantom domain'?
É um domínio web fictício gerado por um LLM ao responder perguntas sobre marcas reais, por exemplo, 'qual é o portal de benefícios da empresa X?'. O modelo inventa um nome plausível, como 'benefits.x-corp[.]io', que não existe. Se um criminoso registrar esse domínio antes que a empresa o faça, ele vira um 'phantom domain' armado para ataques.
Por que as defesas tradicionais de segurança não pegam isso?
Porque essas defesas dependem de reputação: histórico de atividade maliciosa, entradas em blocklists ou sinais de tráfego suspeito. Um phantom domain é registrado e ativado em minutos. No momento em que começa a servir phishing, ainda não tem nenhum desses sinais, é tecnicamente invisível para sistemas baseados em inteligência de ameaças tradicional.
Como saber se minha empresa está vulnerável?
Verifique se LLMs são usados para gerar URLs em documentação, CI/CD, integrações de API ou assistência técnica. Se sim, revise os fluxos: há validação manual ou automática dessas URLs antes de serem integradas? Há monitoramento ativo de novos domínios registrados com variações da sua marca? A Unit 42 já conseguiu prever 18, 51 dias antes do registro real.
Existe algum patch ou atualização para resolver isso?
Não. O problema não está em um bug corrigível, está na natureza estatística dos LLMs. A solução é operacional: tratar toda saída de URL de IA como não confiável por padrão, adotar validação cruzada com fontes oficiais e usar ferramentas como Advanced DNS Security da Palo Alto Networks para detecção proativa de registros suspeitos.
Fontes
- unit42.paloaltonetworks.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

