Imagine pedir ao ChatGPT, Copilot ou outro assistente de IA o site oficial de uma empresa. A resposta parece confiável. O problema? O endereço pode não existir. Agora imagine um criminoso registrando esse domínio antes que alguém perceba. Esse é o conceito por trás do Phantom Squatting, uma ameaça emergente documentada pela Unit 42, a divisão de inteligência de ameaças da Palo Alto Networks, que explora um comportamento intrínseco dos modelos de linguagem: as alucinações de URLs. A pesquisa, publicada em 30 de junho de 2026, já identificou exploração ativa no mundo real — não é um risco teórico, é um vetor de ataque em operação.

O que é Phantom Squatting?

Phantom Squatting é uma técnica de ataque em que criminosos registram domínios que não existem, mas que são frequentemente “inventados” por modelos de IA quando questionados sobre o endereço oficial de uma marca. Quando usuários — ou agentes autônomos de IA — seguem esses links gerados, acabam acessando páginas controladas por atacantes, projetadas para phishing, roubo de credenciais ou distribuição de malware.

O termo foi cunhado pela Unit 42 em referência a outro conceito já conhecido: o slopsquatting, que descreve como assistentes de IA de codificação recomendam pacotes de software inexistentes que criminosos depois transformam em armadilhas reais. Segundo a Unit 42, “assim como um LLM pode alucinar o nome de uma biblioteca, ele pode gerar domínios fictícios para portais web, endpoints de API ou serviços corporativos de uma marca-alvo”. O Phantom Squatting é a versão desse mesmo problema aplicada a domínios web inteiros.

Sua empresa está protegida?

A InfoB realiza diagnósticos completos de cibersegurança para identificar vulnerabilidades reais antes que atacantes o façam.

Um exemplo simples de como acontece

O usuário pergunta a um assistente de IA: “Qual é o portal oficial da Empresa X?” A IA responde com um endereço plausível, algo como www.portal-empresax.com.br. O domínio nunca existiu. Um criminoso monitorando esse tipo de padrão percebe a oportunidade, registra o endereço e cria uma página falsa idêntica à identidade visual da empresa real. A próxima pessoa que receber a mesma sugestão do assistente de IA — ou o próximo agente autônomo que tentar acessar aquele endereço para executar uma tarefa — cairá diretamente na armadilha.

Como surgiu essa nova categoria de ataque

A raiz do problema está em como os modelos de linguagem geram texto. Eles não consultam um banco de dados de domínios registrados em tempo real — eles predizem qual sequência de caracteres seria estatisticamente mais provável como resposta, com base em padrões aprendidos durante o treinamento. Isso significa que um modelo pode criar endereços plausíveis, sintaticamente corretos e coerentes com o nome da marca, sem qualquer verificação de que aquele domínio realmente existe.

O mais preocupante é a consistência do erro: pesquisadores da Unit 42 observaram que diferentes modelos de IA frequentemente geram os mesmos domínios inexistentes quando consultados sobre as mesmas marcas conhecidas. Os pesquisadores demonstraram que múltiplos modelos de linguagem (LLMs) geram consistentemente muitos dos mesmos domínios fabricados, tornando esses domínios relativamente fáceis de prever e registrar antes que as organizações legítimas percebam o problema. Isso transforma uma falha aleatória em um padrão previsível — e padrões previsíveis são exatamente o que atacantes conseguem explorar em escala.

Um detalhe técnico agrava o problema: mesmo ajustando o parâmetro de “temperatura” dos modelos (que controla o quão determinística ou criativa é uma resposta) para o modo mais preciso e conservador possível, os domínios alucinados continuaram sendo gerados de forma consistente. Isso indica que o comportamento não é fruto de “criatividade” do modelo — é uma característica estrutural de como os LLMs funcionam, o que os torna, segundo a própria Unit 42, “uma propriedade estrutural dos modelos de linguagem de grande porte que é inerentemente difícil de eliminar”.

Como funciona o Phantom Squatting na prática

Etapa 1 — Descoberta

O atacante consulta sistematicamente múltiplos modelos de IA — ChatGPT, Copilot, Claude, Gemini e outros — fazendo perguntas repetidas sobre marcas conhecidas em diferentes formulações. O objetivo é identificar quais URLs inexistentes são geradas com maior frequência e consistência entre os diferentes modelos. Quanto mais vezes um domínio alucinado aparece, maior a probabilidade de que usuários reais — humanos ou agentes autônomos — venham a segui-lo.

Etapa 2 — Registro dos domínios

Identificado o padrão, o atacante compra os domínios mais promissores, configura os registros DNS e publica páginas falsas que replicam a identidade visual da marca legítima. Como o domínio acabou de ser registrado, ele não tem histórico nenhum — nem positivo, nem negativo — o que dificulta sua detecção por ferramentas tradicionais de reputação.

Etapa 3 — Exploração

Com a infraestrutura pronta, o domínio pode ser usado para múltiplos fins maliciosos simultaneamente:

  • Phishing — roubo de credenciais corporativas do Microsoft 365, acessos de VPN e dados de contas bancárias, através de páginas de login falsas idênticas às originais
  • Distribuição de malware — instalação de trojans, ransomware e backdoors disfarçados de downloads oficiais ou atualizações de software
  • Ataques de supply chain — hospedagem de APIs falsas, downloads adulterados de pacotes de software e documentação técnica maliciosa que desenvolvedores podem integrar sem perceber

Phantom Squatting x Typosquatting x Slopsquatting

Embora relacionadas, as três técnicas exploram vulnerabilidades diferentes na cadeia de confiança digital:

Técnica O que explora Origem do erro
Typosquatting Erros de digitação humanos — domínios com grafia parecida a marcas reais (ex: “gogle.com”) Erro do usuário ao digitar
Slopsquatting Pacotes de software inexistentes que assistentes de IA de codificação recomendam por engano Alucinação da IA em contexto de desenvolvimento
Phantom Squatting Domínios web inteiros inexistentes, inventados por IA ao responder sobre uma marca Alucinação da IA em contexto de navegação/consulta geral

A diferença mais importante entre essas técnicas: no typosquatting tradicional, o alvo é o erro humano de digitação. No Phantom Squatting, o alvo não é o erro do usuário — é a confiança que o usuário deposita na resposta da IA. A pessoa não digitou nada errado; ela simplesmente confiou em uma recomendação que parecia vir de uma fonte autorizada e tecnicamente competente.

O que os pesquisadores descobriram: os números do estudo

A escala da pesquisa da Unit 42 é o que transforma o Phantom Squatting de curiosidade acadêmica em preocupação corporativa concreta. Os pesquisadores fizeram 685.339 perguntas sobre 913 marcas conhecidas globalmente a dois modelos distintos de IA, cobrindo os setores de tecnologia, finanças, saúde, governo e outros. Os modelos produziram 2,1 milhões de links.

Os resultados expõem a dimensão real do problema:

  • Mais de 13.229 URLs já classificadas por inteligência de ameaças como definitivamente maliciosas — ou seja, a própria IA estava entregando endereços já conhecidos como perigosos
  • Aproximadamente 250.000 domínios alucinados ainda sem dono, disponíveis para qualquer pessoa registrar — uma reserva massiva de infraestrutura de ataque em potencial esperando para ser reivindicada

O insight mais relevante para empresas: muitos domínios apareciam repetidamente entre diferentes modelos de IA, na mesma configuração e até nos parâmetros mais conservadores de geração. Isso significa que criminosos conseguem prever, com razoável precisão, quais serão os próximos domínios explorados — e, segundo a própria Unit 42, defensores conseguem fazer exatamente a mesma previsão, desde que monitorem esses padrões de forma proativa.

Casos reais identificados: da previsão ao ataque

O caso do marketplace de serviço postal nacional

O caso mais documentado pela Unit 42 envolve um domínio semelhante ao marketplace online de um serviço postal nacional. Em 8 de março de 2026, o pipeline de descoberta multi-agente da Unit 42 gerou o mesmo domínio alucinado em todas as configurações testadas de dois modelos de IA distintos — incluindo o modo mais preciso e conservador de geração — um sinal de que os modelos tratavam aquela infraestrutura fictícia como um fato quase certo, não como uma criação especulativa.

O domínio foi imediatamente incluído em uma lista de observação de alta prioridade. Vinte e três dias depois, em 31 de março de 2026, um atacante registrou exatamente aquele domínio e lançou um kit de phishing batizado de “Montana Empire”, que copiava a loja virtual real em tempo real e coletava números de cartão, dados bancários e identificação nacional das vítimas.

O mais revelador desse caso: a análise forense da infraestrutura do atacante revelou que o próprio kit de phishing havia sido desenvolvido com o apoio de um assistente de IA de codificação — evidenciado por um diretório de projeto encontrado dentro do arquivo do kit malicioso. A Unit 42 descreve esse padrão como parte de um “ciclo de vida adversarial único e estruturalmente inevitável”, em que a mesma tecnologia de IA usada para prever a vulnerabilidade também é usada pelo atacante para construir a exploração.

Impersonação de escritórios de advocacia em escala

Pesquisas complementares de resposta a incidentes documentaram uma operação de impersonação empresarial assistida por IA que registrou mais de 150 domínios falsificando escritórios de advocacia, usando múltiplos registradores e faixas de IP, certificados SSL/TLS individualizados e o serviço Cloudflare para ocultar a infraestrutura real. A operação parecia projetada para atingir repetidamente as mesmas vítimas de golpe — incluindo a reutilização de um número de telefone já associado a campanhas fraudulentas anteriores — evidenciando que a IA está reduzindo significativamente a barreira técnica para que agentes menos sofisticados operem golpes convincentes em maior escala.

O monitoramento proativo de domínios alucinados de alta prioridade conduzido pela Unit 42 detectou, em múltiplos casos, o intervalo entre a identificação do domínio fantasma e seu registro efetivo por atacantes: entre 18 e 51 dias. Essa janela de tempo é exatamente o espaço de manobra que separa defensores proativos de vítimas reativas.

Por que esse ataque é tão difícil de detectar

Problema 1 — Reputação zero

Domínios recém-criados não estão em nenhuma lista de bloqueio, não possuem histórico de reputação e, superficialmente, parecem tão legítimos quanto qualquer site novo criado por uma empresa real. Ferramentas de segurança que dependem de reputação histórica — o modelo mais comum em filtragem web tradicional — simplesmente não têm dados suficientes para classificar esses domínios como maliciosos no primeiro contato.

Problema 2 — Confiança excessiva na IA

Usuários tendem a presumir que a IA verificou a informação antes de responder, que o link sugerido é oficial e que a recomendação é segura por padrão. Essa é exatamente a característica que torna o Phantom Squatting mais perigoso que o phishing tradicional: como observou Johan Edholm, pesquisador da Unit 42, “a recomendação chega através de um assistente confiável em vez de um e-mail de phishing, então ela herda uma credibilidade que o atacante nunca precisou conquistar sozinho — e contorna defesas que dependem de o domínio já ter uma má reputação”.

Problema 3 — O crescimento dos agentes autônomos

À medida que empresas adotam agentes de IA corporativos capazes de navegar, coletar informações e executar tarefas de forma autônoma, o risco se amplifica: um agente que segue automaticamente um domínio fantasma sugerido por seu próprio modelo de raciocínio pode comprometer processos inteiros sem qualquer intervenção humana no meio do caminho. A própria Unit 42 alerta que fluxos de trabalho agênticos modernos integram assistentes de IA para tarefas que fundamentalmente exigem geração de URLs — recuperar documentação de API, identificar registros de pacotes, localizar endpoints de webhook — e cada uma dessas interações representa um potencial vetor de Phantom Squatting.

Quais empresas estão mais expostas

A pesquisa da Unit 42 cobriu marcas em múltiplos setores, mas alguns segmentos concentram exposição especialmente elevada — tanto pela sensibilidade dos dados envolvidos quanto pelo volume de interações digitais que os tornam alvos atrativos:

  • Setor financeiro — bancos e fintechs, onde credenciais roubadas via páginas de login falsas se convertem diretamente em fraude financeira
  • Saúde — hospitais e operadoras de plano de saúde, com dados pessoais sensíveis e alto valor no mercado criminoso
  • Governo — portais públicos, onde a confiança institucional torna o golpe particularmente eficaz, como no caso do marketplace postal documentado
  • Tecnologia — fabricantes de software e provedores de nuvem, alvos preferenciais para ataques de supply chain via documentação e APIs falsas
  • E-commerce — marketplaces e varejo online, onde páginas falsas de checkout capturam dados de cartão diretamenteImpactos para as empresas

As consequências do Phantom Squatting se estendem por quatro dimensões distintas de risco corporativo:

  • Financeiro — fraudes diretas via credenciais roubadas e possíveis multas regulatórias decorrentes de vazamento de dados de clientes
  • Operacional — interrupções de sistemas e comprometimento de infraestrutura quando malware distribuído via domínio fantasma se instala no ambiente corporativo
  • Reputacional — perda de confiança do mercado quando clientes são vítimas de golpes que parecem — mas não são — associados à marca real da empresa
  • Legal — implicações sob a LGPD quando dados pessoais de clientes ou colaboradores são comprometidos através de páginas falsas associadas indiretamente à marca da empresa vitimada

Como se proteger contra o Phantom Squatting

Monitoramento de marca

Implementar serviços de Brand Monitoring, Threat Intelligence e Domain Monitoring que rastreiam ativamente novos registros de domínio semelhantes ao nome da empresa — incluindo variações que modelos de IA tendem a gerar, não apenas erros típicos de digitação. A própria Unit 42 recomenda que organizações “identifiquem e registrem proativamente domínios prováveis de serem alucinados antes que atacantes o façam”, mapeando o que os LLMs tendem a alucinar e monitorando fluxos de eventos de registro de domínio para responder antes que a arma seja usada.

Segurança de DNS

Adotar soluções de DNS Security capazes de bloquear preventivamente o acesso a domínios recém-registrados, domínios sem histórico de reputação conhecido e sites com sinais de comportamento suspeito — antes mesmo que uma classificação definitiva como malicioso esteja disponível.

Treinamento de usuários

Educar colaboradores sobre um princípio simples mas contraintuitivo: a IA pode errar, inclusive ao sugerir endereços de sites. URLs recomendadas por assistentes de IA devem ser verificadas contra fontes oficiais conhecidas antes de qualquer inserção de credencial ou dado sensível — nunca assuma que um link sugerido por IA é automaticamente legítimo.

Validação automatizada

Criar políticas técnicas de conferência de certificados SSL/TLS, validação de registros DNS e checagem cruzada contra listas de domínios oficiais conhecidos da empresa — especialmente em fluxos automatizados onde sistemas ou agentes de IA processam URLs sem intervenção humana direta.

Segurança baseada em IA

Ferramentas avançadas de segurança já incorporam capacidade de identificar padrões de alucinação de domínio, detectar sites suspeitos com base em características estruturais (não apenas reputação histórica) e bloquear acesso preventivamente. Esse é precisamente o modelo de defesa que a própria Unit 42 está pioneirando — usar IA para prever o que outra IA vai alucinar, antes que atacantes cheguem lá primeiro.

O papel do MDR, XDR e MXDR contra novas ameaças de IA

Por que antivírus tradicional não é suficiente

Ataques modernos como o Phantom Squatting são rápidos, mudam constantemente de infraestrutura e utilizam domínios inéditos sem histórico algum. Soluções de antivírus baseadas em assinatura ou em listas de reputação simplesmente não têm base de dados suficiente para reconhecer uma ameaça que acabou de nascer. Isso é agravado pelo contexto mais amplo documentado pela própria Unit 42: o Relatório Global de Resposta a Incidentes 2026 confirma que atacantes conseguem hoje comprimir o tempo entre acesso inicial e exfiltração de dados para menos de uma hora em velocidade de máquina, com 65% do acesso inicial sendo impulsionado por técnicas baseadas em identidade.

Como MDR e XDR ajudam

Serviços de MDR (Managed Detection and Response) e XDR (Extended Detection and Response) abordam o problema de forma estrutural, cobrindo três frentes:

  • Detecção comportamental — identifica padrões de DNS suspeitos, conexões anômalas para domínios recém-criados e downloads maliciosos, mesmo quando o domínio de origem não tem nenhum histórico prévio de reputação
  • Threat Intelligence correlacionada — cruza indicadores globais de ameaça, campanhas emergentes e novos domínios registrados em tempo real, aproximando-se da mesma lógica de monitoramento proativo que a Unit 42 usa para prever o Phantom Squatting antes da exploração
  • Resposta rápida — permite isolamento imediato de dispositivos comprometidos, bloqueio automatizado de tráfego malicioso e investigação forense, reduzindo a janela de exposição de dias para minutos

Para empresas que operam no ecossistema Microsoft 365, essa camada de detecção comportamental se integra diretamente às ferramentas de segurança já existentes no ambiente. Confira nosso artigo sobre o que é Microsoft Security para entender como o Microsoft Defender XDR e o Microsoft Sentinel se conectam a esse tipo de detecção comportamental, e o artigo sobre Sophos MDR vs. SOC interno para avaliar o modelo de operação mais adequado ao porte da sua empresa.

Phantom Squatting e o risco crescente de agentes de IA corporativos

Um aspecto que merece atenção redobrada de gestores de TI: à medida que empresas adotam agentes de IA corporativos via Copilot Studio e ferramentas similares para automatizar tarefas internas, o risco de Phantom Squatting se estende ao próprio ambiente interno. Um agente configurado para consultar documentação externa, buscar informações de fornecedores ou integrar APIs de terceiros pode, teoricamente, ser induzido a seguir um domínio alucinado se a fonte de conhecimento ou a configuração do agente não tiver validação adequada de URLs.

Isso reforça um princípio de governança já central em qualquer implementação responsável de IA corporativa: fontes de conhecimento e conectores externos devem ser configurados apenas para domínios verificados e explicitamente autorizados — nunca com base em busca aberta ou geração dinâmica de URLs sem validação. Para o contexto completo de governança de agentes de IA, incluindo controles contra riscos emergentes como esse, confira o artigo sobre IA corporativa com agentes Microsoft.

O futuro do Phantom Squatting

As tendências para 2026 e além apontam para uma ampliação, não uma redução, desse tipo de risco. O crescimento acelerado de agentes autônomos, a navegação assistida por IA em substituição à busca tradicional e a autoexecução de tarefas por sistemas de IA sem supervisão humana constante convergem para um cenário onde a confiança em respostas automatizadas só tende a aumentar — e, com ela, as oportunidades para criminosos explorarem exatamente essa confiança.

A própria Unit 42 já demonstrou, com o caso Montana Empire, que o ciclo completo — da alucinação da IA à exploração criminosa, incluindo o uso de outra IA para construir a ferramenta de ataque — já está operacional e documentado. A questão não é mais se esse tipo de ataque vai se tornar comum, mas quão rapidamente as empresas conseguirão adaptar suas defesas para tratar a confiança em sistemas de IA como uma nova superfície de ataque que precisa ser monitorada com o mesmo rigor de qualquer outro vetor conhecido.

Conclusão: uma mudança de paradigma na segurança cibernética

O Phantom Squatting representa uma mudança de paradigma na segurança cibernética. Diferente dos ataques tradicionais, ele não explora uma vulnerabilidade técnica corrigível com um patch — explora uma característica inerente aos modelos de IA generativa: a geração de informações plausíveis, porém incorretas. À medida que empresas adotam Copilot, agentes de IA e automação baseada em modelos de linguagem em seus processos diários, validar URLs, monitorar o registro de domínios semelhantes à própria marca e investir em MDR/XDR com threat intelligence atualizada deixam de ser boas práticas opcionais e passam a ser requisitos essenciais para reduzir riscos e proteger o negócio.

A InfoB, como parceira certificada Microsoft e especialista em segurança gerenciada, apoia empresas na avaliação de exposição a ameaças emergentes como o Phantom Squatting — incluindo monitoramento de marca, hardening de DNS e implementação de MDR/XDR adequados ao porte e ao setor de cada negócio.

Perguntas frequentes

O que é Phantom Squatting?

É uma técnica de ataque em que criminosos registram domínios que não existem, mas que são frequentemente “inventados” (alucinados) por modelos de IA como ChatGPT, Copilot, Claude e Gemini ao serem questionados sobre o site oficial de uma marca. Quando usuários ou agentes de IA seguem esses links sugeridos, acabam acessando páginas controladas por atacantes, projetadas para phishing ou distribuição de malware.

Qual a diferença entre Phantom Squatting, Typosquatting e Slopsquatting?

Typosquatting explora erros de digitação humanos. Slopsquatting explora pacotes de software inexistentes recomendados por assistentes de IA de codificação. Phantom Squatting explora domínios web inteiros inexistentes que a IA inventa ao responder sobre uma marca. A diferença central: no Phantom Squatting, o alvo não é o erro do usuário — é a confiança que ele deposita na resposta da IA.

Quantos domínios alucinados a Unit 42 encontrou disponíveis para registro?

A Unit 42 analisou 913 marcas globais com 685.339 consultas a dois modelos de IA, gerando 2,1 milhões de URLs. Desse total, 13.229 já estavam classificadas como maliciosas e aproximadamente 250.000 domínios alucinados ainda estavam disponíveis para registro — uma janela significativa de risco.

Como as empresas podem se proteger do Phantom Squatting?

As principais medidas: monitoramento de marca e domínios para identificar registros suspeitos; segurança de DNS que bloqueia domínios recém-registrados sem reputação; treinamento de usuários para verificar URLs sugeridas por IA; validação automatizada de certificados; e serviços de MDR/XDR com threat intelligence atualizada para detectar acessos a domínios maliciosos recém-criados antes que causem dano.

Sua empresa está protegida?

A InfoB realiza diagnósticos completos de cibersegurança para identificar vulnerabilidades reais antes que atacantes o façam.