ESTUDO DE CASO // INVESTIGAÇÃO DE INFRAESTRUTURA
Uma investigação passiva de OSINT com 27 partes que mapeou uma infraestrutura de streaming multi-país, identificou o operador por meio de 37+ contas vinculadas e produziu um dossiê completo de inteligência com 186 etapas de evidências.
Uma operação de streaming ilegal distribuindo milhares de canais piratas em diversos mercados europeus foi investigada utilizando exclusivamente técnicas passivas de OSINT. Ao longo de uma investigação em múltiplas fases que envolveu 27 sessões analíticas, o operador foi totalmente identificado, a infraestrutura completa do servidor foi mapeada, o modelo financeiro foi reconstruído e um dossiê pronto para ações de segurança foi produzido.
A investigação começou com um único ponto de dados — um URL de painel de streaming — e por meio de uma correlação sistemática de inteligência multi-fonte, expandiu-se para revelar a identidade do operador, localização residencial, conexões familiares, relação com o provedor de internet (ISP), arquitetura de servidor de 5 nós abrangendo 3 países e uma operação estimada a gerar €84.000–€420.000 em receita total ao longo da vida útil.
O alvo operava atrás de múltiplas camadas de ofuscação: provedores de hospedagem bulletproof, proteção do Cloudflare, DNS wildcard e funções separadas da infraestrutura (codificação, gerenciamento de painel, entrega CDN, distribuição de borda). O operador manteve zero entidade comercial registrada — nenhum registro corporativo, nenhuma inscrição no imposto em seu nome vinculada à operação.
O objetivo era responder a três perguntas por meio de meios passivos apenas: Quem opera essa infraestrutura? Como a operação é estruturada tecnicamente e financeiramente? Quais evidências existem para apoiar ações de execução?
Análise de padrões de nome de usuário, correlação de endereços de e-mail, enumeração de plataformas. Foram descobertas mais de 37 contas em plataformas de desenvolvedores, redes sociais, serviços de jogos e fóruns subterrâneos — todas vinculadas por padrões consistentes de nomes de usuário e endereços de e-mail.
Análise de DNS, correlação de certificados, varredura de portas, digitalização de serviços. Mapeados 5 nós de servidor em 3 países com funções distintas: origem de codificação, gerenciamento de painel, entrega CDN, borda europeia e retransmissão de e-mail. Identificadas hospedagens bulletproof, infraestrutura NAS e padrões de acesso a VPN.
Enumeração de APIs, inventário de canais, categorização de conteúdo. Documentada a extensão completa: milhares de transmissões ao vivo, milhares de títulos de VOD, centenas de séries de TV — incluindo centenas de canais premium de 11+ detentores de direitos em 5+ jurisdições.
Identificação de canais de pagamento, estimativa de receita, mapeamento de provedores upstream. Descoberto modelo de pagamento apenas em fiat por meio de plataformas de pagamento identificadas, estimativa da base de assinantes e receita, e rastreamento da cadeia de suprimentos de conteúdo da origem por satélite até a codificação e distribuição.
Cross-referência de todas as fontes de inteligência. A identidade real do operador foi confirmada por meio da convergência de múltiplas cadeias de evidências independentes: commits de repositórios de código, perfis de mídia social, registros públicos, posts em fóruns e artefatos de infraestrutura.
A arquitetura de 5 nós foi mapeada por meio de DNS passivo, transparência de certificados e identificação de serviços:
Nó 1 (Origem/Codificador): Conexão de ISP residencial hospedando hardware de codificação (NAS + codificador de hardware). Operado a partir do local físico do operador com serviços FTP, SMTP, RTSP, RTMP e VPN expostos. O nó com a pior OPSEC.
Nó 2 (Painel): Provedor de hospedagem bulletproof executando software de painel de streaming com porta do banco de dados (MariaDB) e cache (Redis) acessíveis pela internet — embora com whitelist de IPs.
Nó 3 (CDN): Mesmo provedor de hospedagem bulletproof, responsável pela entrega de streams e hospedagem de VOD. Executando software de servidor web em fim de vida útil com CVEs conhecidos.
Nó 4 (Borda): Nó europeu de entrega de borda em provedor de hospedagem diferente.
Nó 5 (Correio): Servidor de correio em nuvem responsável por comunicações do domínio.
O pacote completo de inteligência — incluindo identificação do operador, topologia da infraestrutura, análise financeira, inventário de conteúdo e avaliação de impacto aos titulares de direitos — foi compilado em um dossiê estruturado adequado para encaminhamento às autoridades de aplicação da lei. A documentação identificou quadros legais aplicáveis em mais de 5 jurisdições e sugeriu passos investigativos específicos que exigiriam autoridade legal para serem executados (acesso a bancos de dados, registros de transações, informações de assinantes da provedora de internet (ISP)).
O inquérito com 27 partes foi realizado exclusivamente com técnicas de OSINT passivas. Fontes de inteligência incluíram: respostas de API públicas, registros DNS, logs de transparência de certificados, análise de repositórios de código, perfis em redes sociais, pesquisas em registros públicos, identificação passiva de serviços e análise de posts em fóruns. Em nenhum momento foi acessado qualquer sistema sem autorização, não foram testadas credenciais e não foi realizada exploração ativa.
Sejam redes de fraude, abuso de marca ou infraestrutura de concorrentes — mapeamos o que outros perdem.