Vasta operação de ciberespionagem visa governos em todo o mundo

Investigadores da Unit 42, a equipa de threat intelligence da Palo Alto Networks, identificaram uma vasta operação de ciberespionagem que afetou 37 governos e envolveu atividades de reconhecimento em 155 países, segundo um novo relatório. A campanha é atribuída a um grupo com base na Ásia e destaca-se pela sua dimensão, persistência e diversidade de alvos.

De acordo com a Unit 42, os cibercriminosos comprometeram pelo menos 70 instituições governamentais, mantendo acesso a alguns sistemas durante vários meses. Em pelo menos um país, os atacantes conseguiram infiltrar-se nos sistemas do parlamento e de um alto responsável eleito. Os alvos incluem empresas nacionais de telecomunicações, forças policiais, departamentos de contraterrorismo e múltiplos ministérios, como os dos Negócios Estrangeiros, Finanças, Justiça, Energia, Imigração e Economia.

Pete Renals, diretor dos Programas de Segurança Nacional da Unit 42, evitou atribuir a campanha a um país específico, mas sublinhou a gravidade do caso. “Pela escala, estamos provavelmente perante o compromisso mais amplo e significativo de infraestruturas governamentais globais por um grupo patrocinado por um Estado desde o SolarWinds”, afirmou em declarações ao The Record da Recorded Future News.

Espionagem com impacto estratégico

Embora o principal objetivo da campanha seja a espionagem e o roubo de dados, a Palo Alto Networks alerta para as potenciais consequências a longo prazo. “Os métodos, os alvos e a escala da operação são alarmantes e podem ter impactos duradouros na segurança nacional e em serviços críticos”, refere o relatório.

Os investigadores encontraram ligações claras entre algumas intrusões e acontecimentos geopolíticos relevantes. Durante o shutdown do governo dos Estados Unidos, em outubro de 2025, o grupo intensificou atividades de scanning em países da América do Norte, Central e do Sul. Noutro episódio, foi comprometida uma entidade mineira boliviana ligada à exploração de terras raras, um recurso que tem ganho peso na estratégia política do país. Já no Brasil, os atacantes acederam ao Ministério das Minas e Energia, num contexto em que o país detém uma das maiores reservas mundiais de terras raras.

Também a Venezuela foi alvo de uma vaga intensa de reconhecimento digital: um dia após a captura do presidente venezuelano numa operação dos Estados Unidos, os cibercriminosos realizaram atividades contra, pelo menos, 140 endereços IP governamentais.

Campanhas de phishing e malware

A investigação teve início após uma série de ataques de phishing contra governos europeus no início de 2025, mas a infraestrutura associada remonta a janeiro de 2024. Um dos ficheiros maliciosos analisados tinha o nome “Diaoyu”, termo em mandarim associado a phishing, e conduzia à instalação de uma carga maliciosa Cobalt Strike, frequentemente utilizada para garantir persistência em sistemas comprometidos.

Além do phishing, o grupo recorreu a um vasto conjunto de ferramentas, exploits e código de prova de conceito para vulnerabilidades em diferentes produtos, adaptando-se aos ambientes tecnológicos de cada alvo. Segundo Pete Renals, não houve uma preferência clara por determinado fabricante ou tecnologia, o que reforça a sofisticação e flexibilidade da operação.

A Unit 42 afirma ter conseguido expulsar os atacantes de parte das redes afetadas nas últimas semanas e está agora a monitorizar possíveis tentativas de reentrada. O objetivo é compreender melhor a resposta do grupo e reforçar as defesas das entidades visadas, num contexto em que a ciberespionagem continua a evoluir em paralelo com as tensões geopolíticas globais.