Ciberespionagem atinge novo patamar de sofisticação

A Eset divulgou os resultados do seu mais recente Relatório de Atividades APT, cobrindo o período entre abril e setembro de 2025. O estudo destaca a intensificação e sofisticação das operações de ciberespionagem, com grupos alinhados com a China e a Rússia a promover ativamente os objetivos geopolíticos dos respetivos governos.

Um padrão notável é o aumento do uso da técnica de adversary-in-the-middle tanto para acesso inicial, como para movimento lateral, uma aparente resposta à contínua disputa de poder entre os EUA e a China.

Os grupos APT alinhados com a China mantiveram-se globalmente ativos. Jean-Ian Boutin, diretor de pesquisa de ameaças da Eset, sublinha que a abrangência global destas campanhas ilustra que os agentes de ameaça continuam a ser mobilizados para atender a uma vasta gama de prioridades geopolíticas atuais de Pequim.

Entre junho e setembro, o FamousSparrow iniciou um ataque significativo à América Latina, tendo como alvo principal entidades governamentais na região. Esta atividade representou a maior parte das operações atribuídas ao grupo no período, sugerindo um foco operacional na região. As vítimas incluem diversas entidades governamentais na Argentina, e outras no Equador, Guatemala, Honduras (múltiplas entidades) e Panamá. Esta “digressão latino-americana” pode estar ligada à atual disputa de poder entre os EUA e a China na região, resultante do renovado interesse da administração Trump pela América Latina.

Na Europa, as entidades governamentais continuaram a ser o foco principal de ciberespionagem por parte de grupos alinhados com a Rússia, à medida que intensificavam as suas operações contra a Ucrânia e vários Estados-Membros da União Europeia.

Mesmo alvos não ucranianos exibiram ligações estratégicas ou operacionais com a Ucrânia, reforçando a noção de que o país continua a ser central para os esforços de inteligência da Rússia.

O grupo RomCom explorou uma vulnerabilidade zero-day no WinRAR para implementar DLL maliciosas, visando principalmente os setores financeiro, industrial, de defesa e logístico na UE e Canadá.

O Gamaredon permaneceu como o grupo APT mais ativo a atacar a Ucrânia, utilizando spearphishing como principal método de comprometimento e focado na ciberespionagem. O Sandworm concentrou-se na Ucrânia com um motivo destrutivo, visando setores governamental, energético, logístico e cerealífero, com o objetivo provável de enfraquecer a economia ucraniana.

Um agente de ameaças alinhado com a Rússia, InedibleOchotense, conduziu uma campanha de spearphishing fazendo-se passar pela própria Eset. Esta campanha usou emails e mensagens do Signal para entregar o download de um produto legítimo da Eset trojanizado que descarregava o backdoor Kalambur.

O grupo FrostyNeighbor, alinhado com a Bielorússia, explorou uma vulnerabilidade XSS no Roundcube. Empresas polacas e lituanas foram alvo de spearphishing disfarçado de empresas polacas. Os emails continham um uso e combinação distintos de marcadores e emojis, com uma estrutura que lembra o conteúdo gerado por Inteligência Artificial (IA), sugerindo o possível uso de IA na campanha. As cargas entregues incluíam um sistema de roubo de credenciais e uma ferramenta de roubo de mensagens de email.

Na Ásia, os grupos APT continuaram a ter como alvo entidades governamentais e os setores de tecnologia, engenharia e manufatura. Agentes de ameaças alinhados com a Coreia do Norte permaneceram altamente ativos em operações direcionadas à Coreia do Sul e ao seu setor da tecnologia.