Fast16, o vírus usado pelos Estados Unidos para sabotar testes de armas nucleares

O malware Fast16 foi comprovadamente projetado para sabotar simulações computacionais de detonação de armas nucleares. A descoberta é da equipe de Threat Hunter da Symantec. O framework de sabotagem foi desenvolvido provavelmente a partir de 2005 e atacava especificamente os softwares LS-DYNA e AUTODYN, programas usados para simular explosões e comportamento de materiais sob alta pressão.

A análise divulgada em maio de 2026 detalha como o código malicioso manipulava cálculos matemáticos relacionados à compressão de urânio. Isso porque o Fast16 só entrava em ação quando a densidade do material simulado ultrapassava 30 g/cm³, exatamente o limiar que o urânio atinge quando comprimido pelo choque de um dispositivo de implosão.

O que é o Fast16

O Fast16 é um framework de sabotagem baseado em Lua descoberto pela SentinelOne em abril de 2026. Pesquisadores da empresa identificaram o malware enquanto rastreavam os primeiros usos da linguagem de programação Lua em ameaças para Windows. O arquivo svcmgmt.exe chamou atenção por ser um binário de serviço com uma máquina virtual Lua 5.0 embutida.

O malware aparece referenciado no vazamento de ferramentas ofensivas da Agência de Segurança Nacional dos Estados Unidos feito pelo grupo Shadow Brokers em 2017. Esse é o mesmo vazamento que expôs parte do arsenal cibernético americano. Há evidências de que o Fast16 pode ter sido desenvolvido pelos próprios Estados Unidos, assim como o Stuxnet.

O componente central do Fast16 é o svcmgmt.exe, que funciona como um módulo carregador. Dependendo dos argumentos de linha de comando, ele pode rodar como serviço do Windows, executar código Lua ou interpretar comandos específicos.

Malware rastreou atualizações de software por anos

O Fast16 contém 101 regras de interceptação de código que podem ser divididas em 9 ou 10 grupos distintos. Cada grupo foi construído para atacar uma versão específica do LS-DYNA ou AUTODYN. Basicamente, os desenvolvedores do malware acompanharam as atualizações dos programas ao longo dos anos e criaram novos hooks para cada versão.

A evidência mostra que usuários das simulações podem ter revertido para versões antigas do software ao detectar anomalias nos resultados. Os atacantes então criaram hooks também para essas versões anteriores. Essa operação metódica e sustentada sugere um esforço de sabotagem estratégica de longo prazo.

Como o malware alterava as simulações

O Fast16 instalava três mecanismos de ataque diferentes dentro dos programas de simulação. Todos eles focavam em cenários de alta pressão e detonação de explosivos.

O Mecanismo B foi projetado para LS-DYNA e verificava se a simulação usava equações de estado específicas para explosivos de alto desempenho. Isso porque essas equações matemáticas determinam como a pressão de um material muda quando ele é comprimido ou expandido. Quando a densidade do urânio atingia 30 g/cm³, o malware reduzia os valores de saída do tensor de stress de Cauchy para apenas 1% dos valores reais.

O tensor de stress de Cauchy representa a pressão termodinâmica do material. Alterar esse valor modifica o cálculo da compressibilidade do urânio. Em testes realizados pela Symantec, a sabotagem resultou em maior compressão do material do que a real quando se modelava compressão até 33 g/cm³.

O Mecanismo C funcionava de forma similar no AUTODYN. Ele também esperava que a densidade do urânio atingisse 30 g/cm³ e então reduzia valores de saída como pressão em taxas variáveis, dependendo da versão do software.

Por que isso importa para armas nucleares?

Armas nucleares funcionam através de uma reação em cadeia. Quando o urânio é comprimido, os nêutrons têm mais chance de atingir outros núcleos de urânio, causando fissão e liberando mais nêutrons. Explosivos convencionais são colocados ao redor do núcleo de urânio para criar uma onda de pressão que comprime o material e inicia a explosão nuclear.

Ao simular o desempenho do urânio em uma arma nuclear, cientistas precisam calcular se o material ficará comprimido o suficiente para atingir supercriticalidade. É nesse momento que os nêutrons introduzidos causam a explosão nuclear. O Fast16 adulterava exatamente esses cálculos de pressão e compressão.

Os resultados manipulados poderiam fazer parecer que a supercriticalidade foi alcançada quando na verdade não foi, ou o contrário. Mesmo que as anomalias fossem eventualmente detectadas por especialistas, o malware teria atrasado e interrompido o desenvolvimento bem-sucedido de uma arma nuclear.

Propagação restrita a redes internas

O Fast16 foi construído para se espalhar dentro de uma rede alvo mas não para sair dela. O malware verificava a presença de 18 produtos de segurança diferentes e se recusava a se propagar caso encontrasse algum deles. Ele também enumerava domínios, servidores e compartilhamentos para descobrir outros computadores na rede local.

Para cada máquina qualificada, o Fast16 copiava a si mesmo usando as credenciais do usuário logado e criava um serviço remoto para iniciar a execução no novo host. Dessa forma, qualquer máquina usada para rodar as simulações geraria os mesmos resultados adulterados.

Conhecimento técnico raro para a época

A Symantec destaca que o nível de expertise necessário para criar o Fast16 em 2005 é impressionante. Os desenvolvedores precisavam entender quais modelos de equação de estado eram importantes, quais convenções de chamada eram produzidas por quais compiladores e quais classes de simulação ativariam ou não os gatilhos do malware.

O framework pertence à mesma linhagem conceitual do Stuxnet, onde malware foi adaptado não apenas ao produto de um fornecedor mas a um processo físico específico simulado ou controlado por aquele produto. A diferença é que o Fast16 é anterior ao Stuxnet em aproximadamente dois anos.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.