A IRIS C2, uma startup de cibersegurança sediada em McLean, Virgínia, emergiu recentemente no mercado de exploits oferecendo pagamentos de até US$ 7 milhões por vulnerabilidades zero-day. A empresa, que utiliza o X (antigo Twitter) para recrutar talentos e alardear sua capacidade de adquirir primitivas de exploração para plataformas populares, tem operado sob a liderança de Jack Burkman e Jacob Wohl. Segundo reportagem do Krebs on Security, a startup é, na verdade, uma ramificação da Calvexa Group LLC, entidade vinculada a uma dupla com um longo histórico de condenações por fraude e campanhas de desinformação política nos Estados Unidos.
A presença da IRIS C2 no ecossistema de segurança cibernética levanta preocupações imediatas sobre a integridade dos dados e a procedência das tecnologias de exploração comercializadas. Embora o mercado de vulnerabilidades zero-day seja composto por uma mistura heterogênea de pesquisadores e empresas de defesa, a abordagem ostensiva da IRIS C2 destoa das práticas usuais de contratantes governamentais, que geralmente operam com maior sigilo e rigor institucional.
O histórico por trás da fachada
Jack Burkman e Jacob Wohl não são estranhos aos tribunais ou ao escrutínio público. Nos últimos anos, a dupla esteve envolvida em uma série de operações de fachada, incluindo a criação de empresas de inteligência falsas e plataformas como a LobbyMatic, que alegava utilizar IA para lobby político. Em 2023, ambos foram alvo de uma multa de US$ 5,1 milhões da Federal Communications Commission (FCC) devido a campanhas de robocalls disseminando informações falsas durante o ciclo eleitoral de 2020. Além disso, enfrentaram condenações criminais por fraude de telecomunicações e acusações de supressão de votos em Detroit.
A transição de figuras com esse histórico para o setor de cibersegurança ofensiva sugere uma mudança de estratégia, mas mantém o padrão de opacidade. A utilização de pseudônimos e a criação de empresas de fachada para operar negócios de tecnologia já foram documentadas pela imprensa americana, levantando questões sobre como pesquisadores de segurança podem estar sendo atraídos para estruturas corporativas sem transparência mínima sobre a identidade de seus controladores.
Mecanismos de recrutamento e risco
A IRIS C2 utiliza promessas de pagamentos elevados para atrair engenheiros júnior com talento bruto, ignorando a necessidade de credenciais acadêmicas ou experiência formal. Jacob Wohl, em entrevista ao Krebs on Security, afirmou que a empresa possui cerca de 40 funcionários, embora sustente que eles não podem listar o emprego no LinkedIn por questões de segurança operacional. Essa tática de isolamento de equipe é uma bandeira vermelha comum em empresas que buscam evitar a devida diligência de seus próprios colaboradores.
A dinâmica de aquisição de exploits, segundo Wohl, foca na estabilização de primitivas encontradas por pesquisadores independentes. No entanto, a falta de formação técnica formal dos fundadores e a ausência de um histórico comprovado no desenvolvimento de software de defesa tornam a promessa de entrega de capacidades de alto nível uma incógnita técnica. O risco para o mercado, portanto, é a possível exposição de vulnerabilidades sensíveis a atores de má fé ou a falha na entrega de produtos que comprometam a segurança de infraestruturas críticas.
Implicações para o ecossistema
Para reguladores e o setor de defesa, o surgimento de atores como a IRIS C2 destaca uma lacuna na supervisão de empresas que negociam ferramentas de cibersegurança ofensiva. A facilidade com que indivíduos banidos de outras esferas comerciais conseguem se reposicionar no mercado de tecnologia, utilizando a demanda por exploits como isca, expõe a necessidade de um escrutínio mais rigoroso sobre os contratos e a origem dos fundos que sustentam essas operações.
Para os pesquisadores de segurança, a lição é clara: a devida diligência deve ir além da promessa de remuneração. O caso da IRIS C2 serve como um lembrete de que o mercado de vulnerabilidades zero-day, embora lucrativo, pode ser um terreno fértil para charlatões que buscam capitalizar sobre o conhecimento técnico alheio sem a devida responsabilidade ética ou legal.
Incertezas e próximos passos
O que permanece incerto é se a IRIS C2 conseguirá, de fato, sustentar suas operações ou se colapsará sob o peso das investigações e da desconfiança do mercado. A afirmação de Wohl de que a empresa trabalha com contratos governamentais carece de evidências públicas, e a ausência de um portfólio verificável coloca a startup em uma posição precária diante de clientes corporativos ou governamentais mais conservadores.
Observar a movimentação da empresa nos próximos meses será fundamental para entender se ela se tornará um caso de estudo sobre a fragilidade da confiança no setor de cibersegurança ou se será desmantelada por novas ações judiciais. A história recente dos fundadores sugere que a longevidade não é uma característica de seus empreendimentos, mas o setor de tecnologia continua sendo um ambiente onde a promessa de inovação muitas vezes mascara intenções menos nobres.
Com reportagem de Brazil Valley
Source · Krebs on Security





