A legislação cambojana de 2026 estabelece um marco histórico na repressão aos centros de ciberfraude, impondo penas severas que incluem prisão perpétua para operadores de scam compounds envolvidos em mortes. A nova lei, aprovada unanimamente pela Assembleia Nacional e Senado, representa uma resposta direta à pressão internacional da China e EUA sobre o ecossistema de cibercrime que se expandiu no país.
Estrutura de Penalidades Hierárquicas
A legislação implementa um sistema de penalidades escalonadas baseado no papel dos envolvidos nas operações criminosas. Os operadores que administram os scam compounds enfrentam as sanções mais severas: prisão de 5 a 10 anos e multas de 500 milhões a 1 bilhão de riel (US$ 125.000 a US$ 250.000). Quando envolvem tortura ou sequestro, as penas aumentam para até 20 anos e multas de 1 a 2 bilhões de riel (US$ 250.000 a US$ 500.000).
O ponto crítico da legislação é a disposição para casos com fatalidades: operadores enfrentam até 30 anos ou prisão perpétua quando há mortes reportadas nos compounds. A lei também diferencia participantes voluntários, que podem receber até 10 anos de prisão e multas equivalentes, demonstrando uma abordagem diferenciada para coação versus participação consciente.
Ataque às Cadeias de Suprimentos Criminosas
A legislação vai além dos operadores diretos, atacando toda a cadeia de suprimentos dos scam compounds. Recrutadores e treinadores de pessoal enfrentam até 5 anos de prisão e multas de 200 a 500 milhões de riel (US$ 50.000 a US$ 125.000). Quando os recrutamentos envolvem tortura, sequestro ou mortes, as penas sobem para 10 anos e multas de 500 milhões a 1 bilhão de riel.
Coletadores e vendedores de dados pessoais para scammers enfrentam até 3 anos de prisão e multas de 100 a 300 milhões de riel (US$ 25.000 a US$ 75.000), aumentando para 5 anos e 300 a 500 milhões de riel (US$ 75.000 a US$ 125.000) em ambientes organizados. A lavagem de dinheiro já é coberta por legislação existente, portanto não foi incluída na nova lei.
Contexto Operacional e Impacto no Turismo
A mudança legislativa ocorre em um contexto onde o Camboja experimentou declínio no turismo internacional, com viajantes temendo sequestro e trabalho forçado nos compounds. Desde fevereiro, a polícia cambojana intensificou operações, desmantelando mais de 190 locais, detendo 2.500 suspeitos e libertando mais de 110.000 estrangeiros que trabalhavam nos centros.
Operações recentes incluíram a prisão e extradição para a China de figuras-chave como Chen Zhi (presidente do Prince Group) e Li Xiong (presidente do Huione Group). Chen administrava múltiplos centros de fraude, enquanto Li estava envolvido na lavagem de grande parte dos lucros criminosos.
“Running a scam compound will get you a prison sentence of five to 10 years, and a fine from 500 million to 1 billion riel ($125,000 to $250,000). If torture or kidnapping was involved, the maximum sentence goes to 20 years… If deaths have been reported at the scam compound, operators face up to 30 years or life imprisonment.”
Tendências Paralelas em Ameaças Cibernéticas
Enquanto o Camboja enfrenta seu ecossistema de fraude, outras tendências emergem globalmente. Campanhas de phishing de device code aumentaram 37,5 vezes em 2026, com pelo menos 10 kits de phishing distintos capazes de operações de device code phishing identificados. O kit EvilTokens (também conhecido como Antibot) é o mais popular, seguido por Dolce, DCStatus, Paprika, Flow_Token, DocuPull, Authov, LinkID, Clure e ShareFile.
Ataques a cadeias de suprimentos de código aberto continuam com desenvolvedores de alto perfil do ecossistema npm sendo alvos da mesma campanha de phishing que comprometeu o projeto Axios. Desenvolvedores por trás dos projetos Node.js, Lodash, Fastify, Mocha e Express reportaram ataques, com a campanha vinculada a hackers norte-coreanos.
Vulnerabilidades Críticas e Zero-Days
No front de vulnerabilidades, a Fortinet lançou uma atualização de emergência para corrigir um zero-day ativamente explorado (CVE-2026-35616) que permite a atacantes remotos contornar autenticação e executar código malicioso em servidores Fortinet EMS via requisições malformadas. Ataques contra dispositivos Fortinet EMS aumentaram no mês passado, explorando uma vulnerabilidade anterior de fevereiro.
Pesquisadores também desenvolveram um ataque GPUBreach baseado em Rowhammer que pode elevar privilégios e obter acesso root em sistemas Linux. O ataque corrompe tabelas de páginas de memória GPU e então migra para a CPU via driver NVIDIA para obter controle total sobre o sistema operacional.
Implicações para a Segurança Corporativa
A legislação cambojana representa um precedente importante para jurisdições que buscam combater operações de cibercrime organizado. Para organizações globais, a lição é dupla: primeiro, a necessidade de monitorar mudanças regulatórias em jurisdições de alto risco; segundo, a importância de fortalecer defesas contra vetores de ataque em evolução como device code phishing e ataques a cadeias de suprimentos.
A convergência de pressão geopolítica, impacto econômico (declínio do turismo) e ação legislativa criou um ambiente onde operações criminosas que antes operavam com impunidade agora enfrentam consequências severas. Este caso demonstra como fatores econômicos e de reputação podem acelerar mudanças regulatórias em países anteriormente tolerantes com atividades cibercriminosas.
Análise baseada no Risky Bulletin (06/04/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário