Operação Saffron: Forças de Segurança Desmantelam o Serviço First VPN, Usado por Criminosos Cibernéticos
Uma operação internacional, liderada pela França e Holanda, resultou no fechamento do First VPN, um serviço amplamente utilizado por grupos de ransomware e outros criminosos cibernéticos. A investigação, que durou anos, revelou o uso do serviço para atividades maliciosas, levando à apreensão de servidores, domínios e informações de usuários.
MundiX News·25 de maio de 2026·2 min de leitura·👁 5 views
As forças de segurança da Europa e da América do Norte anunciaram o desmantelamento do First VPN, um serviço que se tornou um refúgio para criminosos cibernéticos. A operação internacional, denominada Operation Saffron, foi liderada pela França e Holanda, com o apoio de diversos países, incluindo Estados Unidos, Canadá, Alemanha, Ucrânia e Reino Unido. A investigação, que começou em dezembro de 2021, permitiu que os investigadores penetrassem na infraestrutura interna do serviço, acessassem a base de usuários e rastreassem as conexões VPN utilizadas em ataques reais.
O First VPN se promovia como um serviço "anônimo" para aqueles que desejavam ocultar suas atividades das autoridades. Em fóruns de hackers como Exploit e XSS, o serviço era anunciado como um VPN que não mantinha logs, aceitava pagamentos anônimos e não cooperava com as autoridades. O serviço prometia aos usuários "anonimato, estabilidade e segurança", afirmando em seu site que era impossível estabelecer uma ligação entre um endereço IP e um cliente específico. Durante a operação, as autoridades apreenderam 33 servidores, desativaram a infraestrutura do serviço e confiscaram os domínios 1vpns[.]com, 1vpns[.]net e 1vpns[.]org, além de domínios onion relacionados. As autoridades ucranianas também realizaram uma busca na residência do suposto administrador da plataforma.
De acordo com o FBI, o serviço operava desde pelo menos 2014, fornecendo aos usuários 32 nós de saída em 27 países, incluindo Estados Unidos, Rússia, Holanda, Alemanha, Suíça e Cingapura. Os clientes tinham acesso a OpenConnect, WireGuard, Outline e VLess TCP Reality, além de suporte a OpenVPN ECC, L2TP/IPSec e PPTP. Os operadores do serviço utilizavam o Telegram e seu próprio servidor Jabber para se comunicar com os usuários. O custo da assinatura variava de dois dólares americanos por dia a 483 dólares americanos por ano. O serviço aceitava pagamentos via Bitcoin, Perfect Money, WebMoney e outros sistemas de pagamento. O FBI acredita que a infraestrutura do First VPN foi utilizada por pelo menos 25 grupos de ransomware, incluindo Avaddon. O serviço era usado para reconhecimento, infiltração inicial, roubo de dados e outros ataques. Representantes da Europol enfatizam que os usuários do serviço já foram notificados sobre o fechamento da plataforma e que suas identidades agora são conhecidas pelas autoridades. As autoridades informam que forneceram aos parceiros de vários países dados sobre 506 usuários do First VPN e prepararam 83 "pacotes de informações operacionais" separados para investigações adicionais.
As forças de segurança da Europa e da América do Norte anunciaram o desmantelamento do First VPN, um serviço que se tornou um refúgio para criminosos cibernéticos. A operação internacional, denominada Operation Saffron, foi liderada pela França e Holanda, com o apoio de diversos países, incluindo Estados Unidos, Canadá, Alemanha, Ucrânia e Reino Unido. A investigação, que começou em dezembro de 2021, permitiu que os investigadores penetrassem na infraestrutura interna do serviço, acessassem a base de usuários e rastreassem as conexões VPN utilizadas em ataques reais.
O First VPN se promovia como um serviço "anônimo" para aqueles que desejavam ocultar suas atividades das autoridades. Em fóruns de hackers como Exploit e XSS, o serviço era anunciado como um VPN que não mantinha logs, aceitava pagamentos anônimos e não cooperava com as autoridades. O serviço prometia aos usuários "anonimato, estabilidade e segurança", afirmando em seu site que era impossível estabelecer uma ligação entre um endereço IP e um cliente específico. Durante a operação, as autoridades apreenderam 33 servidores, desativaram a infraestrutura do serviço e confiscaram os domínios 1vpns[.]com, 1vpns[.]net e 1vpns[.]org, além de domínios onion relacionados. As autoridades ucranianas também realizaram uma busca na residência do suposto administrador da plataforma.
De acordo com o FBI, o serviço operava desde pelo menos 2014, fornecendo aos usuários 32 nós de saída em 27 países, incluindo Estados Unidos, Rússia, Holanda, Alemanha, Suíça e Cingapura. Os clientes tinham acesso a OpenConnect, WireGuard, Outline e VLess TCP Reality, além de suporte a OpenVPN ECC, L2TP/IPSec e PPTP. Os operadores do serviço utilizavam o Telegram e seu próprio servidor Jabber para se comunicar com os usuários. O custo da assinatura variava de dois dólares americanos por dia a 483 dólares americanos por ano. O serviço aceitava pagamentos via Bitcoin, Perfect Money, WebMoney e outros sistemas de pagamento. O FBI acredita que a infraestrutura do First VPN foi utilizada por pelo menos 25 grupos de ransomware, incluindo Avaddon. O serviço era usado para reconhecimento, infiltração inicial, roubo de dados e outros ataques. Representantes da Europol enfatizam que os usuários do serviço já foram notificados sobre o fechamento da plataforma e que suas identidades agora são conhecidas pelas autoridades. As autoridades informam que forneceram aos parceiros de vários países dados sobre 506 usuários do First VPN e prepararam 83 "pacotes de informações operacionais" separados para investigações adicionais.
